Что делает Закон о защите программного обеспечения с открытым исходным кодом и что он упускает

Есть по крайней мере одна вещь, в которой республиканцы и демократы могут согласиться в Сенате США: важность программного обеспечения с открытым исходным кодом. Серьезно. 

Как заявил на прошлой неделе сенатор США Гэри Питерс (штат Мичиган): «Программное обеспечение с открытым исходным кодом является основой цифрового мира.Его партнер по проходу, Роб Портман (R-OH), согласился, сказав: «Компьютеры, телефоны и веб-сайты, которые мы все используем каждый день, содержат программное обеспечение с открытым исходным кодом, которое уязвимо для кибератак». 

Таким образом, «Двухпартийный Закон о защите программного обеспечения с открытым исходным кодом [PDF] гарантирует, что правительство США предвидит и устраняет уязвимости безопасности в программном обеспечении с открытым исходным кодом для защиты наиболее конфиденциальных данных американцев».

В этом законопроекте предлагается, чтобы, поскольку Безопасность Log4j взрыв в 2021 году, и его продолжающиеся афтершокипоказал, насколько мы уязвимы для атак с открытым исходным кодом, Агентство кибербезопасности и безопасности инфраструктуры (CISA) должны помочь «обеспечить безопасное и надежное использование программного обеспечения с открытым исходным кодом федеральным правительством, критической инфраструктурой и другими».

В конце концов, в правительственном релизе от 22 сентября о введении законодательства добавлено: «Подавляющее большинство компьютеров в мире полагаются на открытый исходный код». Это далеко не первый случай, когда федеральное правительство обращает внимание на то, насколько жизненно важным стало программное обеспечение с открытым исходным кодом для всех. В январе Федеральная торговая комиссия США предупредила, что наказывать компании, которые не решают свои проблемы с безопасностью Log4j.

Правительство США уже давно поддерживает программное обеспечение с открытым исходным кодом. Например, еще в 2000 году Агентство национальной безопасности помогло создать Linux с улучшенной безопасностью (SELinux). А в 2016 году тогдашний директор по информационным технологиям США Тони Скотт предложил политику кодирования в поддержку открытого исходного кода, которая требовала, чтобы любое «новое программное обеспечение, разработанное специально для федерального правительства или федеральным правительством, было доступно для совместного использования и повторного использования федеральными агентствами. Он также включает в себя пилотную программу, в результате которой часть этого нового пользовательского кода, финансируемого из федерального бюджета, будет опубликована для широкой публики».

А также: XeroLinux может стать самым красивым рабочим столом Linux на рынке

Однако Закон о защите программного обеспечения с открытым исходным кодом перемещает открытый исходный код из области политических и нормативных решений в федеральный закон. Этот законопроект предписывает CISA разработать структуру рисков для оценки того, как федеральное правительство использует открытый исходный код. CISA также примет решение о том, как эта же структура может использоваться владельцами и операторами критической инфраструктуры.

Согласно Фонд безопасности с открытым исходным кодом (OpenSSF) в своем анализе Закона «CISA создаст первоначальную структуру оценки для управления рисками открытого исходного кода., включающая правительственные, отраслевые и общедоступные структуры сообщества, а также передовой опыт в области безопасности программного обеспечения». 

Короче говоря, CISA не будет пытаться изобретать велосипед, вместо этого используя лучшие из существующих методов безопасности с открытым исходным кодом. Это следует по стопам Исполнительного указа президента Джозефа Байдена об улучшении национальной кибербезопасности, в котором говорится, что разработчики должны предоставить «покупателю SBOM [ведомость материалов] для каждого приложения».

Закон также потребует от CISA определить способы снижения рисков программного обеспечения с открытым исходным кодом. Для этого требуется, чтобы CISA наняла разработчиков с открытым исходным кодом для решения проблем безопасности. Он также предлагает, чтобы некоторые федеральные агентства начали Офисы программ с открытым исходным кодом (OSPO). Наконец, потребуется, чтобы Управление управления и бюджета (OMB) профинансировало подкомитет по безопасности программного обеспечения CISA и выпустило федеральное руководство о том, как пользователи могут защитить программное обеспечение с открытым исходным кодом.

Люди, которые внимательно следят за безопасностью с открытым исходным кодом, слышали много об этом раньше. Как отметили в OpenSSF: «Некоторые идеи кажутся нам знакомыми — например, использование SBOM, важность методов обеспечения безопасности процессов разработки, сборки и выпуска) и призыв к созданию структуры оценки рисков [вторит] нашим Поток панели оценки рисков из нашего План мобилизации".

Но, что удивительно, в законопроекте отсутствуют другие пункты. Например, все программное обеспечение, а не только программное обеспечение с открытым исходным кодом, следует проверять на потенциальный риск. Брэд Аркин, старший вице-президент Cisco и директор по безопасности и доверию, свидетельствовал перед Конгрессом о Log4J: «Программное обеспечение с открытым исходным кодом не подвело, как предполагают некоторые, и было бы ошибочным предполагать, что уязвимость Log4j является свидетельством уникальной уязвимости или повышенного риска программного обеспечения с открытым исходным кодом. Правда в том, что все программное обеспечение содержит уязвимости из-за врожденных недостатков человеческого суждения при проектировании, интеграции и написании программного обеспечения».

А также: Пора прекратить использовать C и C++ для новых проектов, говорит технический директор Microsoft Azure.

Тем не менее, каким бы несовершенным ни был законопроект, OpenSSF заявляет, что «стремится сотрудничать и работать как с вышестоящими, так и с существующими сообществами для повышения безопасности с открытым исходным кодом для всех». Мы рассчитываем на сотрудничество с политиками по всему миру для повышения безопасности программного обеспечения, от которого мы все зависим».

OpenSSF — не единственная группа, которая готова работать с правительством над фундаментальным улучшением безопасности открытого исходного кода, но у нее также есть проблемы. Инициатива открытого исходного кода (OSI) Директор по политике США Деб Брайант опасается, что Конгресс «создает структуру, которая нацелена на то, чтобы рассматривать открытый исходный код как особый класс программного обеспечения, а не решать его для всего программного обеспечения».

Хизер Микер, известный юрист по открытым исходным кодам и ОСС Капитал генеральный партнер, более оптимистично добавил: «Приятно видеть усилия двух партий по улучшению управления безопасностью в программной инфраструктуре, включая программное обеспечение с открытым исходным кодом. Частный рынок уже давно требует этого улучшения, учитывая требования и ожидания клиентов в отношении поставщиков программного обеспечения и облачных услуг. Но государственный надзор может помочь ускорить усилия по совершенствованию за пределами соглашений с коммерческими поставщиками или в ситуациях, когда рыночная власть поставщиков позволяет поставщикам сопротивляться требованиям клиентов».

Конечно, только то, что законопроект доходит до Конгресса, не означает, что он станет законом. Тем не менее, его комитет внес законопроект в Сенат 29 сентября. Это очень быстро для любого законопроекта по любому вопросу. Если он пройдет через Конгресс, нет никаких сомнений в том, что Байден подпишет его и станет законом. Если повезет, защита программного обеспечения с открытым исходным кодом станет законом страны в 2023 году. 

Связанные истории: