กฎหมายว่าด้วยซอฟต์แวร์โอเพ่นซอร์สทำอะไรและสิ่งที่ขาดหายไป

อย่างน้อยก็มีสิ่งหนึ่งที่พรรครีพับลิกันและเดโมแครตสามารถตกลงกันได้ในวุฒิสภาสหรัฐอเมริกา นั่นคือ ความสำคัญของซอฟต์แวร์โอเพนซอร์ซ อย่างจริงจัง. 

ตามที่วุฒิสมาชิกสหรัฐ Gary Peters (D-MI) กล่าวเมื่อสัปดาห์ที่แล้ว “ซอฟต์แวร์โอเพนซอร์ซเป็นรากฐานของโลกดิจิทัลRob Portman (R-OH) หุ้นส่วนของเขาที่อยู่ตรงข้ามทางเดินเห็นด้วย โดยกล่าวว่า "คอมพิวเตอร์ โทรศัพท์ และเว็บไซต์ที่เราใช้ทุกวันมีซอฟต์แวร์โอเพนซอร์สที่เสี่ยงต่อการถูกโจมตีทางอินเทอร์เน็ต" 

ดังนั้น “ฝ่ายสองฝ่าย กฎหมายว่าด้วยซอฟต์แวร์โอเพนซอร์ส [PDF] จะทำให้แน่ใจว่ารัฐบาลสหรัฐฯ คาดการณ์และบรรเทาช่องโหว่ด้านความปลอดภัยในซอฟต์แวร์โอเพนซอร์ซเพื่อปกป้องข้อมูลที่ละเอียดอ่อนที่สุดของชาวอเมริกัน”

ร่างพระราชบัญญัตินี้เสนอว่าตั้งแต่ ความปลอดภัย Log4j ระเบิดในปี 2021 และมัน เกิดอาฟเตอร์ช็อกต่อเนื่องแสดงให้เห็นว่าเราอ่อนแอเพียงใดต่อการโจมตีโอเพนซอร์ซโค้ด the สำนักงานความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐาน (CISA) ต้องช่วย “ให้แน่ใจว่าซอฟต์แวร์โอเพนซอร์ซถูกใช้อย่างปลอดภัยโดยรัฐบาลกลาง โครงสร้างพื้นฐานที่สำคัญ และอื่นๆ”

ท้ายที่สุด เมื่อวันที่ 22 กันยายน รัฐบาลได้ประกาศเปิดตัวกฎหมายเพิ่มเติมว่า “คอมพิวเตอร์ส่วนใหญ่อย่างท่วมท้นในโลกพึ่งพารหัสโอเพนซอร์ซ” นี่ยังห่างไกลจากครั้งแรกที่รัฐบาลกลางได้รับทราบถึงความสำคัญของซอฟต์แวร์โอเพนซอร์สสำหรับทุกคน ในเดือนมกราคม คณะกรรมาธิการการค้าแห่งสหพันธรัฐของสหรัฐฯ เตือนว่าจะ ลงโทษบริษัทที่ไม่แก้ไขปัญหาความปลอดภัยของ Log4j.

รัฐบาลสหรัฐฯ สนับสนุนซอฟต์แวร์โอเพนซอร์สมาอย่างยาวนาน ตัวอย่างเช่น ย้อนกลับไปในปี 2000 National Security Agency ช่วยสร้าง Security-Enhanced Linux (SELinux) และในปี 2016 โทนี่ สก็อตต์ หัวหน้าเจ้าหน้าที่ข้อมูลของสหรัฐอเมริกาในขณะนั้น ได้เสนอนโยบายการเข้ารหัสแบบโอเพนซอร์สที่กำหนดให้ “ซอฟต์แวร์ใหม่ใดๆ ที่พัฒนาขึ้นโดยเฉพาะสำหรับหรือโดยรัฐบาลกลาง เพื่อให้สามารถแบ่งปันและนำกลับมาใช้ใหม่ได้ทั่วทั้งหน่วยงานของรัฐบาลกลาง นอกจากนี้ยังรวมถึงโครงการนำร่องที่จะส่งผลให้ส่วนหนึ่งของรหัสที่กำหนดเองที่ได้รับทุนสนับสนุนจากรัฐบาลกลางถูกเผยแพร่สู่สาธารณะ”

นอกจากนี้: XeroLinux อาจเป็นเดสก์ท็อป Linux ที่สวยที่สุดในตลาด

อย่างไรก็ตาม กฎหมายว่าด้วยซอฟต์แวร์โอเพ่นซอร์สที่ปลอดภัยได้ย้ายโอเพ่นซอร์สจากขอบเขตของการตัดสินใจด้านนโยบายและข้อบังคับไปเป็นกฎหมายของรัฐบาลกลาง ร่างกฎหมายนี้จะสั่งให้ CISA พัฒนากรอบความเสี่ยงเพื่อประเมินว่ารัฐบาลกลางใช้รหัสโอเพนซอร์ซอย่างไร CISA จะตัดสินใจด้วยว่าเจ้าของและผู้ประกอบการโครงสร้างพื้นฐานที่สำคัญจะใช้เฟรมเวิร์กเดียวกันได้อย่างไร

จากการวิเคราะห์เพื่อบรรลุเป้าหมายของ มูลนิธิความปลอดภัยโอเพ่นซอร์ส (OpenSSF) ในการวิเคราะห์พระราชบัญญัติ “CISA จะสร้างกรอบการประเมินเบื้องต้นสำหรับการจัดการความเสี่ยงของรหัสโอเพนซอร์ซโดยผสมผสานกรอบการทำงานของรัฐบาล อุตสาหกรรม และชุมชนโอเพ่นซอร์สและแนวทางปฏิบัติที่ดีที่สุดจากการรักษาความปลอดภัยซอฟต์แวร์” 

กล่าวโดยย่อ CISA จะไม่พยายามสร้างวงล้อใหม่ แทนที่จะใช้เทคนิคการรักษาความปลอดภัยแบบโอเพนซอร์สที่ดีที่สุดที่มีอยู่ สิ่งนี้เป็นไปตามรอยเท้าของคำสั่งผู้บริหารของประธานาธิบดีโจเซฟ ไบเดน ว่าด้วยการปรับปรุงความปลอดภัยทางไซเบอร์ของประเทศ ซึ่งระบุว่านักพัฒนาจะต้องให้ “ผู้ซื้อที่มี SBOM [ใบเรียกเก็บเงินซอฟต์แวร์] สำหรับแต่ละแอปพลิเคชัน”

พระราชบัญญัติดังกล่าวจะกำหนดให้ CISA ระบุวิธีการลดความเสี่ยงของซอฟต์แวร์โอเพนซอร์ส เพื่อให้สิ่งนี้เกิดขึ้น CISA ต้องจ้างนักพัฒนาโอเพ่นซอร์สเพื่อแก้ไขปัญหาด้านความปลอดภัย นอกจากนี้ยังเสนอให้หน่วยงานของรัฐบาลกลางบางแห่งเริ่มดำเนินการ สำนักงานโครงการโอเพ่นซอร์ส (OSPO). สุดท้ายนี้ สำนักงานการจัดการและงบประมาณ (OMB) จะต้องให้ทุนสนับสนุนคณะอนุกรรมการความปลอดภัยซอฟต์แวร์ CISA และออกคำแนะนำของรัฐบาลกลางเกี่ยวกับวิธีที่ผู้ใช้สามารถรักษาความปลอดภัยซอฟต์แวร์โอเพนซอร์สได้

ผู้ที่ติดตามการรักษาความปลอดภัยโอเพนซอร์สอย่างใกล้ชิดเคยได้ยินเรื่องนี้มาก่อน ตามที่ OpenSSF ระบุไว้ “แนวคิดบางอย่างฟังดูคุ้นหูสำหรับเรา — ตัวอย่างเช่น การใช้ SBOM, ความสำคัญของแนวทางปฏิบัติด้านความปลอดภัยของการพัฒนา, การสร้าง และการปล่อยกระบวนการ) และการเรียกร้องให้มีกรอบการประเมินความเสี่ยง [สะท้อน] ของเรา สตรีมแดชบอร์ดการประเมินความเสี่ยงจาก .ของเรา แผนการระดมพล".

แต่น่าแปลกที่ใบเรียกเก็บเงินขาดประเด็นอื่นๆ ตัวอย่างเช่น ซอฟต์แวร์ทั้งหมด ไม่ใช่แค่โอเพ่นซอร์ส ควรได้รับการตรวจสอบหาความเสี่ยงที่อาจเกิดขึ้น ดังที่ Brad Arkin รองประธานอาวุโสของ Cisco และหัวหน้าเจ้าหน้าที่รักษาความปลอดภัยและความน่าเชื่อถือ ให้การต่อรัฐสภาเกี่ยวกับ Log4J: “ซอฟต์แวร์โอเพ่นซอร์สไม่ล้มเหลวดังที่บางคนแนะนำ และจะเข้าใจผิดหากแนะนำว่าช่องโหว่ของ Log4j เป็นหลักฐานของข้อบกพร่องเฉพาะหรือเพิ่มความเสี่ยงด้วยซอฟต์แวร์โอเพนซอร์ซ ความจริงก็คือซอฟต์แวร์ทั้งหมดมีช่องโหว่อันเนื่องมาจากข้อบกพร่องโดยธรรมชาติของวิจารณญาณของมนุษย์ในการออกแบบ การบูรณาการ และการเขียนซอฟต์แวร์”

นอกจากนี้: ถึงเวลาหยุดใช้ C และ C++ สำหรับโครงการใหม่แล้ว Microsoft Azure CTO . กล่าว

ยังคงไม่สมบูรณ์ตามที่กฎหมายกำหนด OpenSSF กล่าวว่า "มุ่งมั่นที่จะทำงานร่วมกันและทำงานทั้งต้นน้ำและกับชุมชนที่มีอยู่เพื่อพัฒนาความปลอดภัยโอเพ่นซอร์สสำหรับทุกคน เราตั้งตารอที่จะร่วมมือกับผู้กำหนดนโยบายทั่วโลกเพื่อปรับปรุงความปลอดภัยของซอฟต์แวร์ที่เราทุกคนพึ่งพา”

OpenSSF ไม่ใช่กลุ่มเดียวที่ยินดีทำงานร่วมกับรัฐบาลเพื่อปรับปรุงความปลอดภัยโอเพ่นซอร์สโดยพื้นฐาน แต่ยังมีข้อกังวลด้วย โอเพ่นซอร์สริเริ่ม (OSI) Deb Bryant ผู้อำนวยการด้านนโยบายของสหรัฐฯ กังวลว่าสภาคองเกรสคือ "การสร้างกรอบการทำงานที่มีเป้าหมายเพื่อปฏิบัติต่อโอเพ่นซอร์สเป็นซอฟต์แวร์ประเภทพิเศษ แทนที่จะแก้ปัญหาสำหรับซอฟต์แวร์ทั้งหมด"

Heather Meeker ทนายความโอเพ่นซอร์สที่มีชื่อเสียงและ อสส.ทุน พันธมิตรทั่วไป กล่าวเสริมในแง่ดีมากขึ้นว่า “เป็นการดีที่ได้เห็นความพยายามของทั้งสองฝ่ายในการปรับปรุงการจัดการความปลอดภัยในโครงสร้างพื้นฐานซอฟต์แวร์ ซึ่งรวมถึงซอฟต์แวร์โอเพนซอร์ซ ตลาดเอกชนได้รับเสียงเรียกร้องมาเป็นเวลานานสำหรับการปรับปรุงนี้ ผ่านความต้องการและความคาดหวังของลูกค้าสำหรับผู้จำหน่ายซอฟต์แวร์และบริการคลาวด์ แต่การกำกับดูแลของรัฐบาลอาจช่วยเร่งความพยายามในการปรับปรุงนอกข้อตกลงของผู้ขายเชิงพาณิชย์ หรือในสถานการณ์ที่อำนาจตลาดของผู้ขายช่วยให้ผู้ขายสามารถตอบโต้ความต้องการของลูกค้าได้”

แน่นอน เพียงเพราะร่างกฎหมายส่งถึงสภาคองเกรสไม่ได้หมายความว่ากฎหมายจะกลายเป็นกฎหมาย ยังคงเป็น ครม.เลื่อนร่างกฎหมายขึ้นชั้นวุฒิสภา วันที่ 29 ก.ย. นี้ เร็วมากสำหรับการเรียกเก็บเงินในทุกประเด็น หากผ่านรัฐสภา ไม่ต้องสงสัยเลยว่า Biden จะลงนามในกฎหมาย หากโชคดี การรักษาความปลอดภัยซอฟต์แวร์โอเพนซอร์ซจะกลายเป็นกฎหมายของแผ่นดินในปี 2023 

เรื่องที่เกี่ยวข้อง: