《法案》提出,开源软件是互联网基础设施的一部分,联邦政府应在确保开源软件长期安全上发挥支持作用;
《法案》要求推行软件物料清单制度,CISA牵头发布开源软件风险框架,联邦机构应据此定期开展安全评估,确保安全使用。
前情回顾·美国网络强国之路
安全内参9月29日消息,美国参议院国土安全和政府事务委员会就一项新法案投票通过,希望解决开源软件给政府机构带来的安全风险。
该法案由民主党参议员加里·彼得斯(Gary Peters)和共和党参议员罗伯·波特曼(Rob Portman)发起,名为《保护开源软件法案》。
法案提出,网络安全与基础设施安全局(CISA)围绕美国政府及各关键基础设施机构内使用的开源代码,创建一套“风险框架”。CISA需要找到“降低使用开源软件系统的风险”的方法,并聘请经验丰富的开源专家,预防类似Log4j事件的再次发生。
该法案还要求,白宫管理和预算办公室(OMB)就各级机构如何安全使用开源软件发布指南。
作为法案的实施依托,CISA的网络安全咨询委员会将专门成立“软件安全小组委员会”。
彼得斯和波特曼都提到,Log4j漏洞是制定该法案的主要驱动因素之一。美国国土安全部一位高级官员上月表示,网络安全官员可能要投入“十年甚至更长时间”来处理Log4j漏洞的持续暴露。
两周前,思科公司研究人员披露,美国、加拿大、日本等国多家能源企业曾在今年夏季遭到利用Log4j漏洞的黑客攻击。最近几个月,也有多家网络安全公司警告称,尽管全球都在努力修复Log4Shell,但这个漏洞仍然构成广泛威胁。
彼得斯表示,“开源软件是数字世界的基石,Log4j漏洞凸显出我们对开源软件的高度依赖。这起事件对联邦政府及银行、医院和公共事业企业等关键基础设施组织构成了严重威胁,影响到美国人日常生活所依赖的各种基础服务。”
“这项基础性两党立法将有助于保护开源软件安全,并进一步加强我们的网络安全防御,从而防范对美国网络发动持续攻击的网络罪犯及外国对手。”
国土安全部近期公布了由新成立的网络安全审查委员会领导的Log4j溯源调查。德得斯和波特曼负责领导国土安全与政府事务委员会。
国土安全部负责政策的副部长兼审查委员会联合主席罗伯·西尔弗斯(Rob Silvers)指出,在2021年发现Log4j漏洞之后,政府方面组织起了“有史以来规模最大的网络应对措施”。
“但Log4j还没有结束。这不是历史性的回顾,现在我们才刚刚弄清事件的来龙去脉。”
彼得斯和波特曼今年早些时候就Log4j事件召开了听证会,并在本周的声明中将其认定为“有史以来最严重、影响范围最广的网络安全漏洞之一”。
参议员们表示,联邦政府是世界上最大的开源软件用户之一。因此除了支持私营部门之外,联邦政府还“必须有能力管理自己的开源使用风险”。
大西洋理事会的特雷·赫尔(Trey Herr)也提到,该法案将“首次把开源软件认定为公共基础设施”。
根据波特曼的介绍,该法案旨在确保美国政府“预测并缓解开源软件中的安全漏洞,以保护美国民众最敏感的数据”。
波特曼提醒称,“Log4shell漏洞只是其中一例,我们日常使用的计算机、手机和网站都包含易受网络攻击的开源软件。”
这两位参议员此前就曾成功合作,将关键基础设施的网络安全事件报告条款纳入《2022财年综合拨款法案》,并由国会批准向各州提供网络安全资金。
参考资料:https://therecord.media/log4j-senators-introduce-bill-centered-on-cisa-open-source-security-efforts/
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。