Kaj počne Zakon o varovanju odprtokodne programske opreme in kaj pogreša

Vsaj o eni stvari se lahko republikanci in demokrati strinjajo v ameriškem senatu: pomembnost odprtokodne programske opreme. resno 

Kot je prejšnji teden dejal ameriški senator Gary Peters (D-MI), "Odprtokodna programska oprema je temelj digitalnega sveta.” Njegov partner na drugi strani, Rob Portman (R-OH), se je strinjal z besedami: “Računalniki, telefoni in spletna mesta, ki jih uporabljamo vsak dan, vsebujejo odprtokodno programsko opremo, ki je ranljiva za kibernetske napade.” 

Zato »Dvostrankarski Zakon o varovanju odprtokodne programske opreme [PDF] bo zagotovil, da bo ameriška vlada predvidela in ublažila varnostne ranljivosti v odprtokodni programski opremi za zaščito najobčutljivejših podatkov Američanov.”

Ta predlog zakona predlaga, da se od Varnost Log4j razstrelitev leta 2021 in njen nadaljevanje popotresnih sunkov, je pokazal, kako ranljivi smo za napade z odprtokodno kodo Agencija za kibernetsko varnost in varnost infrastrukture (CISA) mora pomagati "zagotoviti, da zvezna vlada, kritična infrastruktura in drugi varno uporabljajo odprtokodno programsko opremo."

Navsezadnje je vladna izjava 22. septembra, ki je predstavila zakonodajo, dodala: "Velika večina računalnikov na svetu se zanaša na odprtokodno kodo." To še zdaleč ni prvič, da je zvezna vlada opazila, kako pomembna je postala odprtokodna programska oprema za vse. Januarja je ameriška zvezna komisija za trgovino opozorila, da bo kaznovati podjetja, ki ne odpravijo svojih varnostnih težav Log4j.

Vlada ZDA že dolgo podpira odprtokodno programsko opremo. Na primer, vse do leta 2000 je Agencija za nacionalno varnost pomagala ustvariti Security-Enhanced Linux (SELinux). In leta 2016 je takratni glavni informacijski uradnik ZDA Tony Scott predlagal pro-odprtokodno kodirno politiko, ki je zahtevala, da mora biti vsa »nova programska oprema, razvita posebej za ali s strani zvezne vlade, na voljo za skupno rabo in ponovno uporabo v zveznih agencijah. Vključuje tudi pilotni program, ki bo povzročil, da bo del te nove kode po meri, ki jo financira zvezna država, objavljen javnosti.«

Prav tako: XeroLinux bi lahko bil najlepše namizje Linux na trgu

Zakon o varovanju odprtokodne programske opreme pa odprtokodno programsko opremo premakne s področja politik in regulativnih odločitev v zvezno zakonodajo. Ta predlog zakona bo CISA naročil, naj razvije okvir tveganja za oceno, kako zvezna vlada uporablja odprtokodno kodo. CISA bi tudi odločala o tem, kako bi lastniki in upravljavci kritične infrastrukture lahko uporabljali isti okvir.

Glede na Odprtokodna varnostna fundacija (OpenSSF) v svoji analizi zakona "CISA bi izdelal začetni ocenjevalni okvir za obvladovanje tveganja odprtokodne kode, ki vključuje vladne, industrijske in odprtokodne okvire skupnosti ter najboljše prakse na področju varnosti programske opreme.« 

Skratka, CISA ne bi poskušala na novo izumiti kolesa, namesto tega bi uporabila najboljše obstoječe odprtokodne varnostne tehnike. To je sledilo izvršnemu ukazu predsednika Josepha Bidna o izboljšanju nacionalne kibernetske varnosti, v katerem je navedeno, da morajo razvijalci zagotoviti »kupcu SBOM [razpored materialov programske opreme] za vsako aplikacijo.«

Zakon bo tudi zahteval, da CISA določi načine za zmanjšanje tveganj odprtokodne programske opreme. Da bi se to zgodilo, zahteva, da CISA najame odprtokodne razvijalce za reševanje varnostnih vprašanj. Predlaga tudi ustanovitev nekaterih zveznih agencij Uradi za odprtokodni program (OSPO). Nazadnje bo zahtevalo, da Urad za upravljanje in proračun (OMB) financira pododbor za varnost programske opreme CISA in izda zvezne smernice o tem, kako lahko uporabniki zaščitijo odprtokodno programsko opremo.

Ljudje, ki pozorno spremljajo odprtokodno varnost, so veliko o tem že slišali. Kot je opozoril OpenSSF, »se nam nekatere zamisli zdijo znane – na primer uporaba SBOM, pomen varnostnih praks procesov razvoja, gradnje in izdaje) in poziv k okvirju za oceno tveganja [odmeva] naš Tok nadzorne plošče za oceno tveganja iz našega Načrt mobilizacije«.

Toda, presenetljivo, račun pogreša druge točke. Na primer, vso programsko opremo, ne samo odprtokodno, je treba preveriti glede potencialnega tveganja. Kot je Brad Arkin, Ciscov SVP in glavni uradnik za varnost in zaupanje, kongresu pričal o Log4J: “Odprtokodna programska oprema ni spodletela, kot so predlagali nekateri, in napačno bi bilo trditi, da je ranljivost Log4j dokaz edinstvene napake ali povečanega tveganja pri odprtokodni programski opremi. Resnica je, da vsa programska oprema vsebuje ranljivosti zaradi inherentnih napak človeške presoje pri načrtovanju, integraciji in pisanju programske opreme.«

Prav tako: Čas je, da prenehate uporabljati C in C++ za nove projekte, pravi tehnični direktor Microsoft Azure

Kljub temu, da je račun lahko nepopoln, OpenSSF pravi, da je »predan sodelovanju in delu tako navzgor kot z obstoječimi skupnostmi za napredek odprtokodne varnosti za vse. Veselimo se sodelovanja z oblikovalci politik po vsem svetu za izboljšanje varnosti programske opreme, od katere smo vsi odvisni.«

OpenSSF ni edina skupina, ki je pripravljena sodelovati z vlado, da bi bistveno izboljšala odprtokodno varnost, vendar ima tudi pomisleke. Odprtokodna pobuda (OSI) Direktorica ameriške politike Deb Bryant skrbi, da kongres "gradi okvir, katerega cilj je obravnavati odprto kodo kot poseben razred programske opreme, namesto da bi jo rešil za vso programsko opremo."

Heather Meeker, znana odprtokodna odvetnica in OSS Capital generalni partner, je bolj optimistično dodal: »Lepo je videti dvostransko prizadevanje za izboljšanje upravljanja varnosti v programski infrastrukturi — vključno z odprtokodno programsko opremo. Zasebni trg je že dolgo zahteval to izboljšavo prek zahtev in pričakovanj strank za prodajalce programske opreme in storitev v oblaku. Toda vladni nadzor lahko pomaga pospešiti prizadevanja za izboljšave zunaj komercialnih dogovorov s prodajalci ali v situacijah, ko tržna moč prodajalcev omogoča prodajalcem, da se upirajo zahtevam strank.«

Seveda samo zato, ker predlog zakona doseže kongres, še ne pomeni, da bo postal zakon. Kljub temu je odbor je predlog zakona posredoval senatu 29. septembra. To je zelo hitro za kateri koli račun o kateri koli zadevi. Če bo prišel skozi kongres, se zdi brez dvoma, da ga bo Biden podpisal kot zakon. Če bo sreča, bo leta 2023 varovanje odprtokodne programske opreme postalo državni zakon. 

Povezane zgodbe: