[美国下一届政府网2022年2月8日报道]国土安全和政府事务委员会(Homeland Security and Government AffairsCommittee)的领导人引入了《加强美国网络安全法》(Enhancing American Cybersecurity Act)合并条款,他们认为这些条款对于开源软件库log4j中发现的漏洞至关重要,但在之前的尝试中未能越过终点线。

委员会主席、密歇根州民主党人加里·彼得斯在周二的新闻稿中说:“这一具有里程碑意义的两党立法一揽子计划将为我们的主要网络安全机构(即网络安全和基础设施安全局)提供必要的信息和工具,以警告关键基础设施面临的潜在网络安全威胁、为广泛影响做好准备、协调政府的努力以及帮助受害者应对网络违规行为并从中恢复”。“随着新的、严重软件漏洞(如log4j中的漏洞)不断被发现,我们的努力将大大加强联邦网络安全并使其现代化。这项合并法案还将确保机构能够快速获取基于云的技术,同时确保这些系统及其存储的信息是安全的。”

新立法合并了之前提出的三项法案。新立法将要求私营部门关键基础设施所有者向网络安全和基础设施安全局报告网络安全事件,对《联邦信息安全现代化法案》进行七年来的首次修改,并将美国总务管理局的联邦风险和授权管理计划(Federal Risk and Authorization ManagementProgram,FEdRAMP)编入法典,该计划旨在认证联邦云供应商的安全性。

彼得斯和委员会高级成员、俄亥俄州共和党人罗布·波特曼在周二的听证会上敦促通过这项立法,以便从一个名为log4j的常用开源软件库中发现的漏洞(log4shell)中学习并做出响应。

波特曼特别提到了事件报告条款,“该立法将确保我们国家能够看到利用log4shell漏洞攻击关键基础设施进行的攻击。”

在委员会作证的证人包括阿帕奇软件基金会主席大卫·纳利、思科高级副总裁兼首席安全和信任官布拉德·阿金、网络安全公司Palo Alto的Unit 42威胁情报副主任简米勒·奥斯本,以及大西洋理事会网络治国倡议主任特雷·赫尔。他们都表示支持更多地使用软件材料清单来主动通知开源软件的用户他们的漏洞。

思科的阿金说:“我可以回应的是软件材料清单和其他自动化工具的潜力,以便人们更容易了解自己的代码库,以及他们所依赖的组件上游发生的情况,并降低摩擦。”。

当被问及私营企业在支持他们同样依赖的开源基础设施方面是否做得足够时,赫尔表示,私营企业当然可以做得更多,但他们目前的贡献远远超过了政府的贡献,因此“呼吁双方采取行动是令人钦佩的”。(国家工业信息安全发展研究中心蔚艳艳)

声明:本文来自国防科技信息网,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。