Securing Open Source Software Act が何を行い、何を見逃しているか

米国上院で共和党と民主党が合意できることが少なくとも XNUMX つあります。それは、オープンソース ソフトウェアの重要性です。 真剣に。 

米国上院議員のゲイリー・ピーターズ (民主党-ミシガン州) は先週、次のように述べました。オープンソース ソフトウェアは、デジタル世界の基盤です。通路の彼のパートナーであるロブ・ポートマン (共和党-オハイオ州) は同意し、「私たちが毎日使用するコンピューター、電話、および Web サイトには、サイバー攻撃に対して脆弱なオープンソース ソフトウェアが含まれています。」 

したがって、「超党派 オープンソースソフトウェア保護法 [PDF] は、米国政府がオープンソース ソフトウェアのセキュリティ脆弱性を予測して緩和し、米国人の最も機密性の高いデータを保護することを保証します。」

この法案は、 Log4j セキュリティ 2021年の爆破とその 余震が続く、オープンソース コード攻撃に対して私たちがいかに脆弱であるかを示しました。 サイバーセキュリティおよびインフラストラクチャセキュリティエージェンシー（CISA） 「連邦政府、重要なインフラストラクチャなどによって、オープンソース ソフトウェアが安全かつ確実に使用されるようにする」のに役立つ必要があります。

結局、22 月 XNUMX 日の政府発表でこの法律が導入され、「世界のコンピューターの圧倒的多数はオープンソース コードに依存している」と付け加えられました。 連邦政府が、オープンソース ソフトウェアがすべての人にとってどれほど重要になったかに注目したのは、これが初めてではありません。 XNUMX月、米国連邦取引委員会は、 Log4j のセキュリティ問題を解決しない企業を罰する.

米国政府は長い間、オープンソース ソフトウェアをサポートしてきました。 たとえば、2000 年にはずっとさかのぼって、国家安全保障局は Security-Enhanced Linux (SELinux) の作成を支援しました。 そして 2016 年、当時の米国の最高情報責任者であるトニー スコットは、「連邦政府のために、または連邦政府によって特別に開発された新しいソフトウェアは、連邦政府機関全体で共有および再利用できるようにする」ことを要求するオープンソース コーディング ポリシーを提案しました。 また、連邦政府が資金を提供する新しいカスタム コードの一部を公開するパイロット プログラムも含まれています。」

また： XeroLinux は、市場で最も美しい Linux デスクトップになる可能性があります

しかし、Securing Open Source Software Act は、オープン ソースを政策と規制の決定の領域から連邦法に移行させます。 この法案は、オープンソース コードが連邦政府によってどのように使用されているかを評価するためのリスク フレームワークを開発するよう CISA に指示します。 CISA は、重要なインフラストラクチャの所有者と運用者が同じフレームワークをどのように使用できるかについても決定します。

による オープンソースセキュリティ財団（OpenSSF） 法律の分析では、「CISA は、オープンソース コードのリスクを処理するための初期評価フレームワークを作成します。政府、業界、オープンソース コミュニティのフレームワークとソフトウェア セキュリティのベスト プラクティスを取り入れています。」 

要するに、CISA は車輪の再発明を試みるのではなく、既存のオープンソース セキュリティ技術の最良のものを使用します。 これは、開発者が「アプリケーションごとに SBOM [ソフトウェア部品表] を購入者に提供する必要がある」と述べた、ジョセフ・バイデン大統領の国のサイバーセキュリティの改善に関する大統領令の足跡をたどっています。

この法律はまた、オープンソース ソフトウェアのリスクを軽減する方法を特定することを CISA に要求します。 これを実現するには、CISA がオープンソースの開発者を雇ってセキュリティの問題に対処する必要があります。 また、いくつかの連邦機関が開始することを提案しています オープンソース プログラム オフィス (OSPO). 最後に、管理予算局 (OMB) が CISA ソフトウェア セキュリティ小委員会に資金を提供し、ユーザーがオープンソース ソフトウェアを保護する方法について連邦政府のガイダンスを発行する必要があります。

オープンソースのセキュリティを詳しく追っている人々は、これまでに多くのことを聞いてきました。 OpenSSF が指摘しているように、「一部のアイデアは私たちになじみがあるように聞こえます。たとえば、SBOM の使用、開発、ビルド、およびリリース プロセスのセキュリティ プラクティスの重要性、およびリスク評価フレームワークの呼び出し [echo] 私たちからのリスク評価ダッシュボード ストリーム 動員計画に設立された地域オフィスに加えて、さらにローカルカスタマーサポートを提供できるようになります。」

しかし、驚くべきことに、この法案には他の点が欠けています。 たとえば、オープン ソースだけでなく、すべてのソフトウェアについて潜在的なリスクをチェックする必要があります。 Cisco の SVP であり、最高セキュリティおよび信頼責任者である Brad Arkin 氏は、Log4J について議会で次のように証言しています。オープンソース ソフトウェアは失敗しませんでした、一部の人が示唆しているように、Log4j の脆弱性がオープンソース ソフトウェアの固有の欠陥またはリスクの増加の証拠であると示唆するのは誤りです。 真実は、ソフトウェアの設計、統合、および作成における人間の判断に固有の欠陥により、すべてのソフトウェアに脆弱性が含まれていることです。」

また： 新しいプロジェクトで C と C++ を使用するのをやめる時が来た、と Microsoft Azure CTO は言います

それでも、法案は不完全かもしれませんが、OpenSSF は次のように述べています。 世界中の政策立案者と協力して、私たちが依存しているソフトウェアのセキュリティを改善できることを楽しみにしています。」

OpenSSF は、政府と協力してオープンソース セキュリティを根本的に改善することを望んでいる唯一のグループではありませんが、懸念もあります。 オープンソースイニシアチブ（OSI） 米国のポリシー ディレクターである Deb Bryant 氏は、議会が「すべてのソフトウェアを解決するのではなく、オープン ソースをソフトウェアの特別なクラスとして扱うことを目的としたフレームワークを構築している」ことを懸念しています。

有名なオープンソースの弁護士であり、 OSSキャピタル ゼネラル パートナーは、より楽観的に次のように付け加えました。 プライベート市場は、顧客の要求と、ソフトウェアおよびクラウド サービス ベンダーに対する期待を通じて、この改善を長い間求めてきました。 しかし、政府の監視は、商用ベンダーの取り決め以外で、またはベンダーの市場支配力によってベンダーが顧客の要求に逆らうことを可能にする状況では、改善の取り組みを加速するのに役立つ可能性があります。」

もちろん、法案が議会に提出されたからといって、それが法律になるとは限りません。 それでも、その 委員会は法案を上院議場に進めた 29 月 2023 日。これは、どの問題の請求書でも非常に高速です。 議会を通過すれば、バイデンが署名して法律を成立させることに疑いの余地はないようだ。 運が良ければ、XNUMX 年にはオープンソース ソフトウェアを保護することが国の法律になるでしょう。 

関連記事：