美国通过两党立法保护开源软件安全性


近日,美国通过两党立法将开源软件安全再次列入重点考量,称为《保护开源软件法案》 (Securing Open Source Software Act),目标就是保护关键基础设施。

美国参议员 Gary Peters (D-MI) 和国土安全和政府事务委员会主席兼高级成员 Rob Portman (R-OH) 提出了两党立法,希望通过增强开源软件安全性来帮助保护联邦和关键基础设施。

Gary Peters 表示,“开源软件是数字世界的基石,Log4j 漏洞证明了我们对它的依赖程度。这一事件对联邦系统和关键基础设施公司——包括银行、医院和公用事业机构——构成了严重威胁,因为美国人每天都依赖这些公司提供基本服务。这项常识性的两党立法将有助于保护开源软件,并进一步加强我们对网络犯罪和对全国网络不断发起攻击的外国对手的网络安全防御。”

Rob Portman 也说道:“正如我们在 Log4shell 漏洞中看到的那样,我们每天使用的计算机、手机和网站都包含容易受到网络攻击的开源软件,两党合作的《保护开源软件法案》将确保美国政府预测并减轻开源软件中的安全漏洞,以保护美国人最敏感的数据。

据称,这项重要的立法将是美国有史以来第一次将开源软件列入公共基础设施。

《保护开源软件法案》将指导 CISA(网络安全和基础设施安全局)开发一个风险框架来评估联邦政府如何使用开源代码。

CISA 还将评估关键基础设施所有者和运营商如何自愿使用相同的框架。这将确定在使用开源软件的系统中降低风险的方法。该立法还要求 CISA 聘请具有开发开源软件经验的专业人员确保政府和社区携手合作,并准备好应对 Log4j 漏洞等事件。此外,该立法要求管理和预算办公室 (OMB) 就开源软件的安全使用向联邦机构发布指导,并在 CISA 网络安全咨询委员会下设立软件安全小组委员会。


延伸阅读

  • “核弹级” Log4j 漏洞仍普遍存在,并造成持续影响

相關推薦

2023-07-25

安全固件、无法轻松更新,或供应商对已退出市场的产品安全性关注甚少的弊端。该立法包括一个用于表明产品符合标准的 CE marking,因此有时也被称为“CE mark for software”。 但这个法案或将给 OSS 社区带来意想不到的后果和难

2023-04-15

。 并补充称,将责任分配给每个上游开发人员会降低安全性,而不是增加安全性。让个人和/或资源不足的开发者在向公共资源库做贡献时处于法律上的模糊状态,几乎肯定会造成寒蝉效应。“与其跟着代码一路往上走,我们

2023-11-10

美国立法者继续施压限制中国使用 RISC-V 的举措已经引起质疑。著名硬件黑客黄欣国近日就针对此事,写了一封至白宫、美国商务部和国会议员的公开信,敦促不要对 RISC-V 技术的共享施加任何限制。 他认为,增添限制只会减少

2023-02-09

它必须考虑到对开源社区的公平和平衡。作为一个生活在美国的欧洲人,他希望自己可以看到通过开源的 AI 创新,打破只有美国和中国才能在科技创新上领先的说法。 “开源社区不是实体社区。这是一个由人组成的社区,合

2022-11-13

。尽管这些包含内存不安全机制的方法颠覆了固有的内存安全性,但它们有助于定位可能存在内存问题的位置,从而可以对这些代码部分进行额外的审查。” 另一方面,一些内存安全语言可能会以性能为代价。此外,学习一门

2023-07-13

达成共识,以衡量、归因并积极减少此类影响。 更高的安全性和隐私性: 生成式人工智能系统容易受到各种新的安全和隐私风险的影响,包括新的攻击向量和恶意数据泄露等。 不过 ACM 方面并未就此敦促推行具体的

2023-09-14

多元共进|2023 Google 开发者大会精彩演讲回顾 美国总统拜登曾于 2021 年 5 月签署了一项改善网络安全的行政命令。现在,美国联邦网络安全和基础设施安全局 (CISA) 正在这项工作的基础上制定专门用于保护开源软件 (OSS) 的新

2023-02-10

要求软件制造商提高“全生命周期”数字元素产品的安全性 提供一个“一致的网络安全框架”来衡量软件的安全合规性 提高软/硬件产品的“数字元素”的安全属性透明度 让客户可以“放心使用带有数字元素的产品”

2021-11-12

首都斯德哥尔摩市程序员 Landgren 忍不住拉上其他家长,通过对 API 的逆向工程重构了一个开源的版本 Öppna skolplattformen,从此踏上和市政府之间的漫漫拉锯战…… 政府担心新系统可能会泄露数据隐私、侵犯版权,多次警告并

2023-06-09

美国参议院隐私、技术和法律小组委员会主席 Richard Blumenthal 和副主席 Josh Hawley 近日致信马克·扎克伯格 (Mark Zuckerberg),就 Meta 的大语言模型 LLaMA 泄露一事提出了质疑。 他们担忧该模型可能被滥用于垃圾邮件、欺诈、恶意软件

2023-10-09

-2... - FreeBuf网络安全行业门户】 4. 新的AtlasCross黑客冒充美国红十字会发送网络钓鱼诱饵 “AtlasCross”新黑客组织冒充美国红十字会,针对有网络钓鱼诱饵的组织发送后门恶意软件。【Access denied | www.bleepingcomputer.com used Cloudflare t

2024-01-03

展合作的熟练劳动力。 开源监管的前景如何? 目前,美国和欧盟都已经围绕人工智能制定了立法和监管,但具体的成效还需等到 2024 落地以后才能凸显。欧盟的《网络弹性法案》也将于 2024 年生效,其最近宣布的修订版貌似

2023-09-16

行业的高管和名人周三参加了一场闭门会议,与 60 多名美国参议员就 AI 的各种可能性和风险展开了辩论。 据介绍,参议员们正在考虑通过立法监管 AI 技术。 马斯克警告称,AI 有可能威胁到人类。盖茨则指出,AI 可能

2023-12-04

,这都将成为一种趋势。" 事实上,Rosário 并不是首例。美国马萨诸塞州的民主党州参议员 Barry Finegold 早些时候也向 ChatGPT 求助,帮助起草一项旨在监管包括 ChatGPT 在内的人工智能模型的法案。该法案于今年早些时候提交,但