美国通过两党立法保护开源软件安全性


近日,美国通过两党立法将开源软件安全再次列入重点考量,称为《保护开源软件法案》 (Securing Open Source Software Act),目标就是保护关键基础设施。

美国参议员 Gary Peters (D-MI) 和国土安全和政府事务委员会主席兼高级成员 Rob Portman (R-OH) 提出了两党立法,希望通过增强开源软件安全性来帮助保护联邦和关键基础设施。

Gary Peters 表示,“开源软件是数字世界的基石,Log4j 漏洞证明了我们对它的依赖程度。这一事件对联邦系统和关键基础设施公司——包括银行、医院和公用事业机构——构成了严重威胁,因为美国人每天都依赖这些公司提供基本服务。这项常识性的两党立法将有助于保护开源软件,并进一步加强我们对网络犯罪和对全国网络不断发起攻击的外国对手的网络安全防御。”

Rob Portman 也说道:“正如我们在 Log4shell 漏洞中看到的那样,我们每天使用的计算机、手机和网站都包含容易受到网络攻击的开源软件,两党合作的《保护开源软件法案》将确保美国政府预测并减轻开源软件中的安全漏洞,以保护美国人最敏感的数据。

据称,这项重要的立法将是美国有史以来第一次将开源软件列入公共基础设施。

《保护开源软件法案》将指导 CISA(网络安全和基础设施安全局)开发一个风险框架来评估联邦政府如何使用开源代码。

CISA 还将评估关键基础设施所有者和运营商如何自愿使用相同的框架。这将确定在使用开源软件的系统中降低风险的方法。该立法还要求 CISA 聘请具有开发开源软件经验的专业人员确保政府和社区携手合作,并准备好应对 Log4j 漏洞等事件。此外,该立法要求管理和预算办公室 (OMB) 就开源软件的安全使用向联邦机构发布指导,并在 CISA 网络安全咨询委员会下设立软件安全小组委员会。


延伸阅读

  • “核弹级” Log4j 漏洞仍普遍存在,并造成持续影响

相关文章

2022-11-13

。尽管这些包含内存不安全机制的方法颠覆了固有的内存安全性,但它们有助于定位可能存在内存问题的位置,从而可以对这些代码部分进行额外的审查。” 另一方面,一些内存安全语言可能会以性能为代价。此外,学习一门

2021-11-12

首都斯德哥尔摩市程序员 Landgren 忍不住拉上其他家长,通过对 API 的逆向工程重构了一个开源的版本 Öppna skolplattformen,从此踏上和市政府之间的漫漫拉锯战…… 政府担心新系统可能会泄露数据隐私、侵犯版权,多次警告并

2022-01-17

utube-dl 官方主页的托管公司。 2020 年 10 月,GitHub 响应美国唱片业协会 RIAA 的诉求删除了 YouTube-DL 的代码,从而引发了开源界的争议。彼时,RIAA 引用了 DMCA 的反规避条款,声称该工具可用于从 YouTube 下载他们艺术家的音乐作

2022-04-20

美国第九巡回上诉法院周一裁定,从公共网站抓取数据并不违反美国的《计算机欺诈和滥用法案》(Computer Fraud and Abuse Act,CFAA)。 事件起因于微软旗下全球最大的职业社交网络平台领英(LinkedIn)和小型数据分析公司 HiQ 之间

2022-11-30

主要研究技术对 2023 及未来发展的影响。该调查基于来自美国、英国、中国、印度和巴西的 350 名首席技术官、首席信息官和 IT 主管等全球技术领导者的反馈。 调查指出,云计算 (40%)、5G (38%)、元宇宙 (37%)、电动汽车 (EV) (35%)

2022-04-04

为 John Mark Suhy 的个人经营)的相关案件后;他们认为,美国加州联邦地区法院作出的有利于 Neoj4 的裁决是不正确的,并危及了自由开源软件。 SFC 的政策研究员和驻会黑客 Bradley Kuhn 在博客中对地区法院的部分简易判决(Summary

2022-10-24

e Artifacts)的框架,这是一个新的端到端框架,Google 希望通过 SLSA 能推动标准和准则的实施,以确保整个软件供应链中软件工件的完整性。 SLSA 框架的灵感来自其强制性的内部 「Binary Authorization for Borg」 执行检查器,该检查器

2022-09-24

可以在大型集群上完成,而搜索引擎则可以在本地执行。通过 Open-Web-Search Engine Hub,任何人都可以分享其搜索引擎规格和预计算定期更新的索引。最终目标是创造一个以人为中心无隐私问题的搜索。

2021-12-24

某些 DHS 系统中潜在的网络安全漏洞,并提高该部的网络安全性能。所有经过审查的网络安全研究人士,都可以受邀访问特定的外部 DHS 系统,查找其中的漏洞并向 DHS 汇报,然后根据漏洞的重要性领取 500 ~100万美金的报酬。有意

2021-12-13

发明出来,用于帮助人们录下电视节目并跳过广告,深受美国家庭用户的喜欢,被称为“电视界中的Google”。 Tivo 中包含了带有 GPL 许可证的软件,按照 copyleft 原则,这些软件应该允许用户随意修改使用。当然,Tivo 也允许

2022-11-04

并已在荷兰注册成立。因此相关条款已被更新,以阐明除美国法律外,用户还必须遵守荷兰法律。随着以后美国实体的关闭,他们就会在未来的更新中删除遵守美国法律的要求。  

2022-03-17

有扎实的理论基础,试图让 Debian 重新焕发活力。现担任美国加州的图书馆馆长(公务员),妻子来自中国,最好的朋友来自印度。 Debian 贡献 团队的一员,努力保护 Debian 的品牌; 设计了 Debian 的密钥功能; 共同维护 了 &

2022-10-18

重于机器学习工作负载的嵌入式设备的操作系统。出于将安全性放在首位的宗旨,KataOS 专门使用 Rust 语言开发,并基于 seL4 微内核进行了构建。 通过 seL4 CAmkES 框架,我们还能够提供静态定义和可分析的系统组件。KataOS 提供

2022-10-15

源合规检测平台。平台涵盖了开源选型可靠性、稳定性、安全性及开源协议风险性检测,致力于保障引入的开源组件来源清晰、安全透明。   开放麒麟安全应急响应中心:由SecurityCommittee SIG组建设、广大社区成员共同