Ano ang ginagawa ng Securing Open Source Software Act at kung ano ang nakakaligtaan nito

Mayroong hindi bababa sa isang bagay na maaaring magkasundo ang mga Republican at Democrat sa US Senate: ang kahalagahan ng open-source software. Seryoso. 

Gaya ng sinabi ni US Senator Gary Peters (D-MI) noong nakaraang linggo, “Ang open-source software ay ang pundasyon ng digital world.” Sumang-ayon ang kanyang kasosyo sa buong pasilyo, si Rob Portman (R-OH), at sinabing, “Ang mga computer, telepono, at website na ginagamit nating lahat araw-araw ay naglalaman ng open-source na software na madaling kapitan ng cyberattack.” 

Samakatuwid, "Ang dalawang partido Pag-secure ng Open Source Software Act Sisiguraduhin ng [PDF] na ang gobyerno ng US ay inaasahan at pinapagaan ang mga kahinaan sa seguridad sa open-source na software upang maprotektahan ang pinakasensitibong data ng mga Amerikano."

Ang panukalang batas na ito ay nagmumungkahi na mula noong Seguridad ng Log4j pagsabog sa 2021, at nito patuloy na aftershocks, ay nagpakita kung gaano tayo ka-bulnerable sa mga open-source code na pag-atake, ang Cybersecurity and Infrastructure Security Agency (CISA) ay dapat tumulong na "tiyaking ligtas at ligtas na ginagamit ng pederal na pamahalaan, kritikal na imprastraktura, at iba pa ang open-source software."

Pagkatapos ng lahat, ang paglabas ng gobyerno noong Setyembre 22 na nagpapakilala sa batas ay idinagdag, "Ang napakaraming mga computer sa mundo ay umaasa sa open-source code." Malayo pa ito sa unang pagkakataon na napansin ng pederal na pamahalaan kung gaano kahalaga ang open-source software sa lahat. Noong Enero, nagbabala ang US Federal Trade Commission parusahan ang mga kumpanyang hindi nag-aayos ng kanilang mga problema sa seguridad sa Log4j.

Matagal nang sinusuportahan ng gobyerno ng US ang open-source software. Halimbawa, noong 2000, tumulong ang National Security Agency na lumikha ng Security-Enhanced Linux (SELinux). At, noong 2016, ang US Chief Information Officer na si Tony Scott ay nagmungkahi ng isang pro-open-source coding policy na nangangailangan ng anumang "bagong software na partikular na binuo para sa o ng pederal na pamahalaan upang maging available para sa pagbabahagi at muling paggamit sa mga pederal na ahensya. Kasama rin dito ang isang pilot program na magreresulta sa isang bahagi ng bagong pinondohan ng pederal na custom na code na ilalabas sa publiko."

Ito: Ang XeroLinux ay maaaring ang pinakamagandang Linux desktop sa merkado

Ang Securing Open Source Software Act, gayunpaman, ay naglilipat ng open source mula sa larangan ng mga desisyon sa patakaran at regulasyon patungo sa pederal na batas. Ididirekta ng panukalang batas na ito ang CISA na bumuo ng balangkas ng peligro upang suriin kung paano ginagamit ng pederal na pamahalaan ang open-source code. Magpapasya din ang CISA kung paano magagamit ang parehong balangkas ng mga kritikal na may-ari at operator ng imprastraktura.

Ayon sa Open Source Security Foundation (OpenSSF) sa pagsusuri nito sa Batas, ang “Ang CISA ay gagawa ng isang paunang balangkas ng pagtatasa para sa paghawak ng panganib sa open-source code, isinasama ang pamahalaan, industriya, at open-source na mga balangkas ng komunidad at pinakamahuhusay na kagawian mula sa seguridad ng software." 

Sa madaling salita, hindi susubukan ng CISA na muling likhain ang gulong, sa halip ay gamitin ang pinakamahusay sa mga kasalukuyang open-source na diskarte sa seguridad. Kasunod ito sa mga yapak ng Executive Order ni Pangulong Joseph Biden sa Pagpapahusay ng Cybersecurity ng Bansa, na nagsasaad na ang mga developer ay dapat magbigay ng "isang mamimili ng isang SBOM [Software Bill of Materials] para sa bawat aplikasyon."

Ang Batas ay mag-aatas din sa CISA na tukuyin ang mga paraan upang pagaanin ang mga panganib sa open-source na software. Upang magawa iyon, kinakailangan ng CISA na umarkila ng mga open-source na developer upang tugunan ang mga isyu sa seguridad. Iminumungkahi din nito na magsimula ang ilang ahensya ng Pederal Open Source Program Offices (OSPO). Sa wakas, kakailanganin nito ang Office of Management and Budget (OMB) na pondohan ang isang CISA software security subcommittee at mag-isyu ng pederal na patnubay kung paano mase-secure ng mga user ang open-source na software.

Ang mga taong sumusunod sa open-source na seguridad nang malapit ay nakarinig ng marami tungkol dito dati. Gaya ng sinabi ng OpenSSF, “Parang pamilyar sa amin ang ilan sa mga ideya — halimbawa, ang paggamit ng mga SBOM, ang kahalagahan ng mga kasanayan sa seguridad ng mga proseso ng pagbuo, pagbuo, at pagpapalabas), at isang panawagan para sa balangkas ng pagtatasa ng panganib [echo] ang aming Dashboard ng Pagtatasa ng Panganib na stream mula sa aming Plano ng Mobilisasyon. "

Ngunit, nakakagulat, ang panukalang batas ay nakaligtaan ang iba pang mga punto. Halimbawa, ang lahat ng software, hindi lamang open source, ay dapat suriin para sa potensyal na panganib. Habang si Brad Arkin, ang SVP at punong security at trust officer ng Cisco, ay nagpatotoo sa Kongreso tungkol sa Log4J: “Hindi nabigo ang open-source software, gaya ng iminungkahi ng ilan, at mali ang pagmumungkahi na ang kahinaan sa Log4j ay katibayan ng isang natatanging depekto o tumaas na panganib sa open-source na software. Ang katotohanan ay ang lahat ng software ay naglalaman ng mga kahinaan dahil sa likas na mga bahid ng paghatol ng tao sa pagdidisenyo, pagsasama, at pagsulat ng software."

Ito: Oras na para ihinto ang paggamit ng C at C++ para sa mga bagong proyekto, sabi ng Microsoft Azure CTO

Gayunpaman, kahit na hindi perpekto ang panukalang batas, sinabi ng OpenSSF na ito ay "nakatuon sa pakikipagtulungan at pagtatrabaho kapwa sa upstream at sa mga umiiral na komunidad upang isulong ang open source na seguridad para sa lahat. Inaasahan namin ang pakikipagtulungan sa mga gumagawa ng patakaran sa buong mundo upang mapabuti ang seguridad ng software na aming lahat ay umaasa."

Ang OpenSSF ay hindi lamang ang grupo na handang makipagtulungan sa gobyerno para sa panimula na mapabuti ang open-source na seguridad ngunit mayroon ding mga alalahanin. Open Source Initiative (OSI) Ang Direktor ng Patakaran ng US na si Deb Bryant ay nag-aalala na ang Kongreso ay "bumubuo ng isang balangkas na naka-target na ituring ang open source bilang isang espesyal na klase ng software sa halip na lutasin ito para sa lahat ng software."

Heather Meeker, isang kilalang open-source na abogado at OSS Capital pangkalahatang kasosyo, na mas optimistikong idinagdag, “Magandang makita ang isang bipartisan na pagsisikap upang mapabuti ang pamamahala ng seguridad sa imprastraktura ng software — kabilang ang open-source na software. Matagal nang hinihiling ng pribadong merkado ang pagpapahusay na ito, sa pamamagitan ng mga hinihingi at inaasahan ng customer para sa software at cloud services vendor. Ngunit ang pangangasiwa ng gobyerno ay maaaring makatulong na mapabilis ang mga pagsisikap sa pagpapabuti sa labas ng mga kaayusan ng komersyal na vendor, o sa mga sitwasyon kung saan ang kapangyarihan ng vendor sa merkado ay nagpapahintulot sa mga vendor na itulak muli laban sa mga kahilingan ng customer."

Siyempre, hindi nangangahulugan na ang isang panukalang batas ay umabot sa Kongreso ay magiging batas. Gayunpaman, nito isinulong ng komite ang panukalang batas sa sahig ng Senado noong Setyembre 29. Napakabilis iyan para sa anumang panukalang batas sa anumang isyu. Kung gagawin ito sa pamamagitan ng Kongreso, tila walang alinlangan na lalagdaan ito ni Biden bilang batas. Sa swerte, ang pag-secure ng open-source na software ay magiging batas ng bansa sa 2023. 

Kaugnay na mga kwento: