오픈 소스 소프트웨어 보호법이 하는 일과 놓치는 일

공화당과 민주당이 미국 상원에서 동의할 수 있는 것이 적어도 한 가지는 있습니다. 바로 오픈 소스 소프트웨어의 중요성입니다. 진지하게. 

미국 상원의원 Gary Peters(D-MI)가 지난 주에 말했습니다.오픈 소스 소프트웨어는 디지털 세계의 기반입니다." 통로 건너편에 있는 그의 파트너인 Rob Portman(R-OH)은 "우리가 매일 사용하는 컴퓨터, 전화 및 웹 사이트에는 사이버 공격에 취약한 오픈 소스 소프트웨어가 포함되어 있습니다."라고 동의했습니다. 

따라서 “양당의 오픈 소스 소프트웨어 보호법 [PDF]는 미국 정부가 미국인의 가장 민감한 데이터를 보호하기 위해 오픈 소스 소프트웨어의 보안 취약성을 예상하고 완화하도록 할 것입니다.”

이 법안은 이후 Log4j 보안 2021년 폭발과 그 계속되는 여진, 우리가 오픈 소스 코드 공격에 얼마나 취약한지 보여주었습니다. 사이버 보안 및 인프라 보안 기관 (CISA) "연방 정부, 중요 기반 시설 및 기타 기관에서 오픈 소스 소프트웨어를 안전하고 안전하게 사용하도록" 도와야 합니다.

결국 22월 XNUMX일 법안을 도입한 정부 발표에서는 "전 세계 컴퓨터의 압도적 다수가 오픈 소스 코드에 의존한다"고 덧붙였습니다. 연방 정부가 오픈 소스 소프트웨어가 모든 사람에게 얼마나 중요한지 주목한 것은 이번이 처음이 아닙니다. 지난 XNUMX월 미국 연방거래위원회(Federal Trade Commission)는 Log4j 보안 문제를 해결하지 않는 회사를 처벌하십시오.

미국 정부는 오랫동안 오픈 소스 소프트웨어를 지원해 왔습니다. 예를 들어, 2000년에 국가안보국은 SELinux(Security-Enhanced Linux) 개발을 도왔습니다. 그리고 2016년 당시 미국 최고 정보 책임자(CIO)인 Tony Scott은 “연방 정부를 위해 또는 연방 정부가 특별히 개발한 모든 새로운 소프트웨어를 연방 기관 간에 공유 및 재사용할 수 있도록 하는” 오픈 소스 코딩 정책을 제안했습니다. 그것은 또한 새로운 연방 자금 지원 사용자 지정 코드의 일부가 대중에게 공개되는 파일럿 프로그램을 포함합니다.”

또한 : XeroLinux는 시장에서 가장 아름다운 Linux 데스크탑이 될 수 있습니다.

그러나 오픈 소스 소프트웨어 보호법은 오픈 소스를 정책 및 규제 결정 영역에서 연방법으로 이동합니다. 이 법안은 CISA가 연방 정부에서 오픈 소스 코드를 사용하는 방법을 평가하기 위한 위험 프레임워크를 개발하도록 지시할 것입니다. CISA는 또한 중요한 인프라 소유자와 운영자가 동일한 프레임워크를 사용할 수 있는 방법을 결정할 것입니다.

이에 따르면 오픈 소스 보안 재단 (OpenSSF) 법의 분석에서 "CISA는 오픈 소스 코드 위험을 처리하기 위한 초기 평가 프레임워크를 생성합니다., 정부, 산업 및 오픈 소스 커뮤니티 프레임워크와 소프트웨어 보안의 모범 사례를 통합합니다." 

간단히 말해서 CISA는 기존의 최고의 오픈 소스 보안 기술을 사용하는 대신 바퀴를 재발명하려고 시도하지 않을 것입니다. 이는 개발자가 "구매자에게 각 애플리케이션에 대한 SBOM(소프트웨어 명세서)"을 제공해야 한다고 명시한 Joseph Biden 대통령의 국가 사이버 보안 개선에 관한 행정 명령의 발자취를 따릅니다.

이 법은 또한 CISA가 오픈 소스 소프트웨어 위험을 완화하는 방법을 식별하도록 요구할 것입니다. 그렇게 하려면 CISA가 보안 문제를 해결할 오픈 소스 개발자를 고용해야 합니다. 또한 일부 연방 기관이 오픈 소스 프로그램 사무소(OSPO). 마지막으로 OMB(Office of Management and Budget)가 CISA 소프트웨어 보안 소위원회에 자금을 지원하고 사용자가 오픈 소스 소프트웨어를 보호할 수 있는 방법에 대한 연방 지침을 발행해야 합니다.

오픈 소스 보안을 밀접하게 따르는 사람들은 이전에 이것에 대해 많이 들어본 적이 있습니다. OpenSSF가 언급했듯이 "일부 아이디어는 우리에게 친숙하게 들립니다. 예를 들어 SBOM의 사용, 개발, 빌드 및 릴리스 프로세스의 보안 관행의 중요성), 위험 평가 프레임워크에 대한 요구가 [반향] 당사의 위험 평가 대시보드 스트림 동원 계획. "

그러나 놀랍게도 이 법안은 다른 요점을 놓치고 있습니다. 예를 들어 오픈 소스뿐만 아니라 모든 소프트웨어에 잠재적인 위험이 있는지 확인해야 합니다. Cisco의 SVP이자 최고 보안 및 신뢰 책임자인 Brad Arkin은 Log4J에 대해 의회에서 다음과 같이 증언했습니다.오픈 소스 소프트웨어는 실패하지 않았습니다, 일부가 제안한 것처럼 Log4j 취약점이 오픈 소스 소프트웨어의 고유한 결함이나 증가된 위험의 증거라고 제안하는 것은 잘못된 것입니다. 사실 모든 소프트웨어에는 소프트웨어를 설계, 통합 및 작성하는 데 있어 인간의 판단에 내재된 결함으로 인해 취약성이 있습니다.”

또한 : Microsoft Azure CTO는 새 프로젝트에 C 및 C++ 사용을 중단할 때라고 말합니다.

그러나 법안이 불완전하더라도 OpenSSF는 "모든 사람을 위한 오픈 소스 보안을 발전시키기 위해 업스트림 및 기존 커뮤니티와 협력하고 작업하는 데 전념하고 있습니다. 우리 모두가 의존하는 소프트웨어의 보안을 개선하기 위해 전 세계의 정책 입안자들과 협력하기를 기대합니다.”

OpenSSF는 오픈 소스 보안을 근본적으로 개선하기 위해 정부와 협력할 의향이 있는 유일한 그룹은 아니지만 우려도 있습니다. 오픈 소스 이니셔티브 (OSI) 데브 브라이언트(Deb Bryant) 미국 정책국장은 의회가 “오픈 소스를 모든 소프트웨어에 대해 해결하는 대신 소프트웨어의 특별한 부류로 취급하는 것을 목표로 하는 프레임워크를 구축하고 있다”고 우려했다.

유명한 오픈 소스 변호사인 Heather Meeker와 OSS캐피탈 제너럴 파트너는 더 낙관적으로 덧붙였습니다. “오픈 소스 소프트웨어를 포함한 소프트웨어 인프라의 보안 관리를 개선하기 위한 초당적 노력을 보니 좋습니다. 사설 시장은 소프트웨어 및 클라우드 서비스 공급업체에 대한 고객의 요구와 기대를 통해 이러한 개선을 오랫동안 요구해 왔습니다. 그러나 정부의 감독은 상업적 공급업체 계약 외부에서 또는 공급업체 시장 지배력으로 인해 공급업체가 고객 요구에 반발할 수 있는 상황에서 개선 노력을 가속화하는 데 도움이 될 수 있습니다.”

물론 법안이 의회에 도달했다고 해서 법안이 되는 것은 아닙니다. 그래도 그 위원회는 이 법안을 상원에 상정했습니다. 29월 2023일. 어떤 문제에 대한 모든 청구서에 대해 매우 빠릅니다. 그것이 의회를 통과한다면 바이든이 법안에 서명할 것이라는 데는 의심의 여지가 없어 보입니다. 운 좋게도 XNUMX년에는 오픈 소스 소프트웨어를 확보하는 것이 법이 될 것입니다. 

관련 기사 :