近日,美国通过两党立法将开源软件安全再次列入重点考量,称为《保护开源软件法案》 (Securing Open Source Software Act),目标就是保护关键基础设施。
美国参议员 Gary Peters (D-MI) 和国土安全和政府事务委员会主席兼高级成员 Rob Portman (R-OH) 提出了两党立法,希望通过增强开源软件安全性来帮助保护联邦和关键基础设施。
Gary Peters 表示,“开源软件是数字世界的基石,Log4j 漏洞证明了我们对它的依赖程度。这一事件对联邦系统和关键基础设施公司——包括银行、医院和公用事业机构——构成了严重威胁,因为美国人每天都依赖这些公司提供基本服务。这项常识性的两党立法将有助于保护开源软件,并进一步加强我们对网络犯罪和对全国网络不断发起攻击的外国对手的网络安全防御。”
Rob Portman 也说道:“正如我们在 Log4shell 漏洞中看到的那样,我们每天使用的计算机、手机和网站都包含容易受到网络攻击的开源软件,两党合作的《保护开源软件法案》将确保美国政府预测并减轻开源软件中的安全漏洞,以保护美国人最敏感的数据。”
据称,这项重要的立法将是美国有史以来第一次将开源软件列入公共基础设施。
《保护开源软件法案》将指导 CISA(网络安全和基础设施安全局)开发一个风险框架来评估联邦政府如何使用开源代码。
CISA 还将评估关键基础设施所有者和运营商如何自愿使用相同的框架。这将确定在使用开源软件的系统中降低风险的方法。该立法还要求 CISA 聘请具有开发开源软件经验的专业人员确保政府和社区携手合作,并准备好应对 Log4j 漏洞等事件。此外,该立法要求管理和预算办公室 (OMB) 就开源软件的安全使用向联邦机构发布指导,并在 CISA 网络安全咨询委员会下设立软件安全小组委员会。
延伸阅读
- “核弹级” Log4j 漏洞仍普遍存在,并造成持续影响