Co robi ustawa o zabezpieczeniu oprogramowania o otwartym kodzie źródłowym i czego brakuje

Jest przynajmniej jedna rzecz, co do której Republikanie i Demokraci mogą zgodzić się w Senacie USA: znaczenie oprogramowania open source. Na serio. 

Jak powiedział w zeszłym tygodniu amerykański senator Gary Peters (D-MI): „Oprogramowanie open source to podstawa cyfrowego świata.Jego partner po drugiej stronie korytarza, Rob Portman (R-OH), zgodził się, mówiąc: „Komputery, telefony i strony internetowe, z których wszyscy korzystamy na co dzień, zawierają oprogramowanie typu open source, które jest podatne na cyberataki”. 

Dlatego „dwupartyjni” Ustawa o zabezpieczeniu oprogramowania Open Source [PDF] zapewni, że rząd USA przewiduje i łagodzi luki w zabezpieczeniach oprogramowania typu open source w celu ochrony najbardziej wrażliwych danych Amerykanów”.

W tej ustawie proponuje się, aby od Bezpieczeństwo Log4j wysadzenie w 2021 r. i jego ciągłe wstrząsy wtórne, pokazało, jak bardzo jesteśmy podatni na ataki z użyciem kodu open source, Agencja ds. Cyberbezpieczeństwa i Infrastruktury (CISA) musi pomóc „zapewnić bezpieczne korzystanie z oprogramowania open source przez rząd federalny, infrastrukturę krytyczną i inne”.

W końcu w komunikacie rządowym z 22 września, wprowadzającym przepisy, dodano: „Przytłaczająca większość komputerów na świecie opiera się na kodzie o otwartym kodzie źródłowym”. To nie pierwszy raz, kiedy rząd federalny zauważył, jak ważne dla wszystkich stało się oprogramowanie typu open source. W styczniu amerykańska Federalna Komisja Handlu ostrzegła, że ​​będzie: karać firmy, które nie naprawiają swoich problemów z bezpieczeństwem Log4j.

Rząd USA od dawna wspiera oprogramowanie typu open source. Na przykład w 2000 roku Agencja Bezpieczeństwa Narodowego pomogła stworzyć Linuksa z ulepszonym bezpieczeństwem (SELinux). W 2016 r. ówczesny dyrektor ds. informacji w USA, Tony Scott, zaproponował politykę kodowania pro-open-source, która wymagała, aby „nowe oprogramowanie opracowane specjalnie dla lub przez rząd federalny było udostępniane do udostępniania i ponownego wykorzystywania w agencjach federalnych. Obejmuje również program pilotażowy, który spowoduje, że część tego nowego niestandardowego kodu finansowanego przez władze federalne zostanie opublikowana.”

Również: XeroLinux może być najpiękniejszym desktopem linuksowym na rynku

Ustawa o zabezpieczeniu oprogramowania o otwartym kodzie źródłowym przenosi jednak otwarte oprogramowanie ze sfery decyzji politycznych i regulacyjnych do prawa federalnego. Ta ustawa pokieruje CISA do opracowania ram ryzyka, aby ocenić, w jaki sposób kod open source jest używany przez rząd federalny. CISA decydowałaby również o tym, w jaki sposób te same ramy mogą być wykorzystywane przez właścicieli i operatorów infrastruktury krytycznej.

Według Fundacja Bezpieczeństwa Open Source (OpenSSF) w swojej analizie ustawy „CISA stworzy wstępne ramy oceny do obsługi ryzyka związanego z kodem open source, obejmujący rządowe, branżowe i społecznościowe struktury open-source oraz najlepsze praktyki z zakresu bezpieczeństwa oprogramowania”. 

Krótko mówiąc, CISA nie próbowałaby wymyślać koła na nowo, zamiast tego wykorzystywała najlepsze z istniejących technik bezpieczeństwa typu open source. Jest to zgodne z rozporządzeniem wykonawczym prezydenta Josepha Bidena w sprawie poprawy cyberbezpieczeństwa narodu, w którym stwierdzono, że programiści muszą dostarczyć „nabywcy SBOM [Software Bill of Materials] dla każdej aplikacji”.

Ustawa będzie również wymagać od CISA określenia sposobów łagodzenia ryzyka związanego z oprogramowaniem open source. Aby tak się stało, CISA musi zatrudnić programistów open-source do rozwiązywania problemów związanych z bezpieczeństwem. Proponuje również, aby niektóre agencje federalne zaczęły Biura Programu Open Source (OSPO). Wreszcie, będzie to wymagało od Biura Zarządzania i Budżetu (OMB) sfinansowania podkomitetu ds. bezpieczeństwa oprogramowania CISA i wydania federalnych wytycznych dotyczących tego, jak użytkownicy mogą zabezpieczać oprogramowanie typu open source.

Ludzie, którzy uważnie śledzą bezpieczeństwo open source, wiele o tym słyszeli. Jak zauważył OpenSSF: „Niektóre pomysły brzmią nam znajomo — na przykład wykorzystanie SBOM, znaczenie praktyk bezpieczeństwa w procesach rozwoju, kompilacji i wydawania) oraz wezwanie do ram oceny ryzyka [echo] nasze Strumień pulpitu oceny ryzyka z naszego Plan mobilizacji".

Ale, co zaskakujące, projekt ustawy pomija inne punkty. Na przykład całe oprogramowanie, nie tylko open source, powinno być sprawdzane pod kątem potencjalnego ryzyka. Jak Brad Arkin, starszy wiceprezes Cisco i główny specjalista ds. bezpieczeństwa i zaufania, zeznał przed Kongresem na temat Log4J: „Oprogramowanie open source nie zawiodło, jak sugerowali niektórzy, i byłoby błędem sugerować, że luka Log4j jest dowodem na unikalną wadę lub zwiększone ryzyko związane z oprogramowaniem open source. Prawda jest taka, że ​​każde oprogramowanie zawiera luki wynikające z nieodłącznych wad ludzkiego osądu w projektowaniu, integrowaniu i pisaniu oprogramowania”.

Również: Nadszedł czas, aby przestać używać C i C++ w nowych projektach, mówi dyrektor ds. technologii Microsoft Azure

Choć ustawa może być niedoskonała, OpenSSF twierdzi, że „jest zaangażowana we współpracę i pracę zarówno w górę, jak i z istniejącymi społecznościami, aby zapewnić wszystkim bezpieczeństwo open source. Z niecierpliwością czekamy na współpracę z decydentami z całego świata w celu poprawy bezpieczeństwa oprogramowania, na którym wszyscy polegamy”.

OpenSSF nie jest jedyną grupą, która chce współpracować z rządem w celu fundamentalnej poprawy bezpieczeństwa open source, ale ma też obawy. Inicjatywa Open Source (OSI) Deb Bryant, dyrektor ds. polityki w USA, martwi się, że Kongres „buduje strukturę, która ma na celu traktowanie open source jako specjalnej klasy oprogramowania, zamiast rozwiązywać to dla całego oprogramowania”.

Heather Meeker, znana prawniczka open-source i Kapitał OSS generalny partner, bardziej optymistycznie dodany, „Dobrze jest widzieć ponadpartyjny wysiłek na rzecz poprawy zarządzania bezpieczeństwem infrastruktury oprogramowania — w tym oprogramowania typu open source. Rynek prywatny od dawna domagał się tej poprawy, poprzez wymagania i oczekiwania klientów wobec dostawców oprogramowania i usług w chmurze. Ale nadzór rządowy może pomóc w przyspieszeniu działań doskonalących poza umowami z komercyjnymi dostawcami lub w sytuacjach, w których siła rynkowa dostawcy pozwala dostawcom na odpieranie żądań klientów”.

Oczywiście to, że projekt ustawy trafi do Kongresu, nie oznacza, że ​​stanie się prawem. Mimo to jest komisja przekazała projekt ustawy do Senatu 29 września. To bardzo szybko dla każdego rachunku w dowolnej sprawie. Jeśli przejdzie przez Kongres, nie ma wątpliwości, że Biden podpisze to pod prawem. Przy odrobinie szczęścia zabezpieczenie oprogramowania open source stanie się prawem w 2023 roku. 

Podobne historie: