Keep Calm and Stay Smart
01:04
Vad Securing Open Source Software Act gör och vad den missar
Det finns åtminstone en sak som republikaner och demokrater kan enas om i den amerikanska senaten: vikten av programvara med öppen källkod. Allvarligt.
Som USA:s senator Gary Peters (D-MI) sa förra veckan, "Programvara med öppen källkod är grunden för den digitala världen.Hans partner på andra sidan gången, Rob Portman (R-OH), höll med och sa: "Datorerna, telefonerna och webbplatserna som vi alla använder varje dag innehåller programvara med öppen källkod som är sårbar för cyberattacker."
Därför ”Den tvåpartiska Säkerhet av programvara med öppen källkod [PDF] kommer att säkerställa att den amerikanska regeringen förutser och mildrar säkerhetssårbarheter i programvara med öppen källkod för att skydda amerikanernas mest känsliga data."
I denna proposition föreslås att sedan den Log4j säkerhet sprängs 2021, och dess fortsatta efterskalv, visade hur sårbara vi är för attacker med öppen källkod Byrån för cybersäkerhet och infrastruktur (CISA) måste hjälpa "säkerställa att programvara med öppen källkod används säkert och säkert av den federala regeringen, kritisk infrastruktur och andra."
När allt kommer omkring tillade regeringen den 22 september, som introducerade lagstiftningen, "Den överväldigande majoriteten av datorer i världen är beroende av öppen källkod." Detta är långt ifrån första gången som den federala regeringen har noterat hur viktig programvara med öppen källkod har blivit för alla. I januari varnade US Federal Trade Commission att det skulle göra det straffa företag som inte fixar sina Log4j-säkerhetsproblem.
Den amerikanska regeringen har länge stött programvara med öppen källkod. Till exempel, ända tillbaka år 2000, hjälpte National Security Agency till att skapa Security-Enhanced Linux (SELinux). Och 2016 föreslog USA:s dåvarande Chief Information Officer Tony Scott en kodningspolicy för öppen källkod som krävde att all "ny programvara utvecklad specifikt för eller av den federala regeringen skulle göras tillgänglig för delning och återanvändning mellan federala myndigheter. Det inkluderar också ett pilotprogram som kommer att resultera i att en del av den nya federalt finansierade anpassade koden släpps till allmänheten."
Dessutom: XeroLinux kan vara det vackraste Linux-skrivbordet på marknaden
Securing Open Source Software Act flyttar dock öppen källkod från området för policy- och regleringsbeslut till federal lag. Detta lagförslag kommer att leda CISA att utveckla ett riskramverk för att utvärdera hur öppen källkod används av den federala regeringen. CISA skulle också besluta om hur samma ramverk skulle kunna användas av ägare och operatörer av kritisk infrastruktur.
Populär nu
Enligt Open Source Security Foundation (OpenSSF) i sin analys av lagen, "CISA skulle ta fram ett första ramverk för bedömning för hantering av risker med öppen källkod, som innehåller ramverk för myndigheter, industri och öppen källkod och bästa praxis från mjukvarusäkerhet."
Kort sagt, CISA skulle inte försöka uppfinna hjulet på nytt, utan istället använda det bästa av befintliga säkerhetstekniker med öppen källkod. Detta följer i fotspåren av president Joseph Bidens verkställande order om att förbättra nationens cybersäkerhet, som säger att utvecklare måste förse "en köpare med en SBOM [Software Bill of Materials] för varje applikation."
Lagen kommer också att kräva att CISA identifierar sätt att minska risker med öppen källkod. För att få det att hända kräver det att CISA anlitar utvecklare med öppen källkod för att ta itu med säkerhetsproblem. Den föreslår också att vissa federala myndigheter startar Programkontor med öppen källkod (OSPO). Slutligen kommer det att kräva att Office of Management and Budget (OMB) finansierar en underkommitté för CISA-programvarusäkerhet och utfärdar federal vägledning om hur användare kan säkra programvara med öppen källkod.
Människor som följer öppen källkodssäkerhet noga har hört mycket om detta tidigare. Som OpenSSF noterade: "Vissa av idéerna låter bekanta för oss - till exempel användningen av SBOMs, vikten av säkerhetspraxis för utvecklings-, bygg- och releaseprocesser), och ett krav på ett ramverk för riskbedömning [eko] vår Riskbedömning Dashboard-ström från vår Mobiliseringsplan. "
Men överraskande nog saknar lagförslaget andra punkter. Till exempel bör all programvara, inte bara öppen källkod, kontrolleras för potentiella risker. Som Brad Arkin, Ciscos SVP och chief security and trust officer, vittnade för kongressen om Log4J: "Programvara med öppen källkod misslyckades inte, som vissa har föreslagit, och det skulle vara missriktat att antyda att Log4j-sårbarheten är bevis på ett unikt fel eller ökad risk med programvara med öppen källkod. Sanningen är att all mjukvara innehåller sårbarheter på grund av inneboende brister i mänskligt omdöme när det gäller att designa, integrera och skriva programvara."
Dessutom: Det är dags att sluta använda C och C++ för nya projekt, säger Microsoft Azure CTO
Ändå, hur ofullkomligt lagförslaget än kan vara, säger OpenSSF att det är "engagerade i att samarbeta och arbeta både uppströms och med befintliga samhällen för att främja säkerhet med öppen källkod för alla. Vi ser fram emot att samarbeta med beslutsfattare runt om i världen för att förbättra säkerheten för den programvara vi alla är beroende av.”
OpenSSF är inte den enda gruppen som är villig att arbeta med regeringen för att i grunden förbättra säkerheten med öppen källkod, men har också oro. Open Source Initiative (OSI) USA:s policychef Deb Bryant oroar sig för att kongressen "bygger ett ramverk som är inriktat på att behandla öppen källkod som en speciell klass av programvara istället för att lösa det för all mjukvara."
Heather Meeker, en välkänd advokat med öppen källkod och OSS Capital general partner, tillade mer optimistiskt, "Det är bra att se en tvåpartsinsatsning för att förbättra hanteringen av säkerheten i mjukvaruinfrastruktur - inklusive programvara med öppen källkod. Den privata marknaden har länge efterlyst denna förbättring, via kundkrav och förväntningar på mjukvaru- och molntjänstleverantörer. Men statlig tillsyn kan hjälpa till att påskynda förbättringsarbetet utanför kommersiella leverantörsarrangemang, eller i situationer där leverantörens marknadsmakt tillåter leverantörer att trycka tillbaka mot kundernas krav."
Naturligtvis, bara för att ett lagförslag når kongressen betyder det inte att det kommer att bli lag. Ändå är det utskottet lade fram lagförslaget till senaten den 29 september. Det är väldigt snabbt för alla räkningar i alla frågor. Om den klarar sig genom kongressen verkar det ingen tvekan om att Biden kommer att skriva under den i lag. Med tur kommer säkrande av programvara med öppen källkod bli landets lag 2023.
Populär nu
Relaterade historier:
English
Arabic
Belarusian
Bengali
Bosnian
Bulgarian
Chinese (Simplified)
Croatian
Czech
Danish
Dutch
English
Estonian
Filipino
Finnish
French
Georgian
German
Greek
Gujarati
Hausa
Hebrew
Hindi
Hmong
Hungarian
Igbo
Indonesian
Italian
Japanese
Javanese
Kazakh
Korean
Kurdish (Kurmanji)
Kyrgyz
Lao
Latvian
Lithuanian
Macedonian
Malagasy
Norwegian
Persian
Polish
Portuguese
Punjabi
Romanian
Russian
Serbian
Slovak
Slovenian
Spanish
Swedish
Thai
Turkish
Ukrainian
Vietnamese
Yoruba