《保护开源软件法案》的作用和遗漏

共和党和民主党在美国参议院至少可以就一件事达成一致：开源软件的重要性。严重地。 

正如美国参议员加里·彼得斯 (D-MI) 上周所说，“开源软件是数字世界的基石。他的跨党派搭档罗布·波特曼（俄亥俄州共和党）对此表示同意，并表示：“我们每天使用的电脑、电话和网站都包含容易受到网络攻击的开源软件。” 

因此，“两党 保护开源软件法案 [PDF] 将确保美国政府预见并减少开源软件中的安全漏洞，以保护美国人最敏感的数据。”

该法案提出，自 Log4j 安全性 2021 年爆发，及其 余震持续，表明我们是多么容易受到开源代码攻击， 网络安全和基础设施安全局 (CISA) 必须帮助“确保联邦政府、关键基础设施和其他机构安全可靠地使用开源软件。”

毕竟，22 月 XNUMX 日政府发布的立法介绍补充道，“世界上绝大多数计算机都依赖开源代码。”这远非联邦政府第一次注意到开源软件对每个人来说变得多么重要。一月份，美国联邦贸易委员会警告称， 惩罚不解决 Log4j 安全问题的公司.

美国政府长期以来一直支持开源软件。例如，早在 2000 年，国家安全局就帮助创建了安全增强型 Linux (SELinux)。 2016 年，时任美国首席信息官托尼·斯科特 (Tony Scott) 提出了一项支持开源的编码政策，要求任何“专门为联邦政府或由联邦政府开发的新软件都可以在联邦机构之间共享和重用”。它还包括一个试点计划，该计划将导致部分新的联邦资助的定制代码向公众发布。”

除此之外： XeroLinux 可能是市场上最漂亮的 Linux 桌面

然而，《保护开源软件法案》将开源从政策和监管决策领域转移到联邦法律中。该法案将指示 CISA 开发一个风险框架来评估联邦政府如何使用开源代码。 CISA 还将决定关键基础设施所有者和运营商如何使用相同的框架。

据 开源安全基金会（OpenSSF） 在对该法案的分析中，“CISA 将制定一个用于处理开源代码风险的初步评估框架，结合政府、行业和开源​​社区框架以及软件安全的最佳实践。” 

简而言之，CISA 不会尝试重新发明轮子，而是使用现有最好的开源安全技术。这是继约瑟夫·拜登总统关于改善国家网络安全的行政命令之后，该命令规定开发商必须向“购买者提供每个应用程序的 SBOM [软件材料清单]”。

该法案还要求 CISA 确定减轻开源软件风险的方法。为了实现这一目标，CISA 需要聘请开源开发人员来解决安全问题。它还建议一些联邦机构开始 开源项目办公室 (OSPO)。最后，它将要求管理和预算办公室 (OMB) 资助 CISA 软件安全小组委员会，并就用户如何保护开源软件发布联邦指南。

密切关注开源安全的人们以前已经听说过很多这样的事情。正如 OpenSSF 指出的那样，“有些想法我们听起来很熟悉，例如 SBOM 的使用、开发、构建和发布流程安全实践的重要性，以及对风险评估框架的呼吁 [呼应]我们的建议。”来自我们的风险评估仪表板流 动员计划设立的区域办事处外，我们在美国也开设了办事处，以便我们为当地客户提供更多的支持。“

但令人惊讶的是，该法案忽略了其他要点。例如，所有软件，而不仅仅是开源软件，都应该检查潜在风险。正如思科高级副总裁兼首席安全和信任官 Brad Arkin 就 Log4J 向国会作证时所说：“开源软件并没有失败正如一些人所建议的那样，如果认为 Log4j 漏洞是开源软件的独特缺陷或风险增加的证据，那将是错误的。事实是，由于人类在设计、集成和编写软件时判断的固有缺陷，所有软件都存在漏洞。”

除此之外： 微软 Azure 首席技术官表示，是时候停止在新项目中使用 C 和 C++了

尽管该法案可能并不完美，但 OpenSSF 表示，它“致力于与上游以及现有社区进行合作和合作，以促进所有人的开源安全。”我们期待与世界各地的政策制定者合作，提高我们所依赖的软件的安全性。”

OpenSSF 并不是唯一愿意与政府合作从根本上提高开源安全性的组织，但也有一些担忧。 开源计划（OSI） 美国政策主管 Deb Bryant 担心国会正在“建立一个框架，旨在将开源视为一类特殊的软件，而不是解决所有软件的问题”。

Heather Meeker，著名开源律师 OSS资本 普通合伙人更乐观地补充道：“很高兴看到两党共同努力改善软件基础设施（包括开源软件）的安全管理。通过客户的需求以及对软件和云服务供应商的期望，私人市场长期以来一直呼吁这种改进。但政府监督可能有助于加速商业供应商安排之外的改进工作，或者在供应商市场力量允许供应商抵制客户需求的情况下。”

当然，法案到达国会并不意味着它就会成为法律。尽管如此，其 委员会将该法案提交参议院 29 月 2023 日。对于任何问题的任何法案来说，这都非常快。如果它在国会获得通过，拜登似乎毫无疑问将签署它成为法律。幸运的是，保护开源软件将在 XNUMX 年成为国家法律。 

相关报道：