《保护开放源码软件法案》做了什么,它错过了什么

在美国参议院,共和党人和民主党人至少可以就一件事达成一致:开源软件的重要性。

正如美国参议员加里·彼得斯(D-MI)上周所说,“开源软件是数字世界的基石。”他的另一半罗布·波特曼(Rob Portman,R-OH)对此表示赞同,加拿大主机租用他说:“我们每天使用的电脑、手机和网站都包含开源软件,很容易受到网络攻击。”

因此,“两党安全开源软件法案[PDF]将确保美国政府预见并减轻开源软件中的安全漏洞,以保护美国人最敏感的数据。”

该法案提议,由于2021年的Log4j安全事件及其持续的余震表明,我们有多么容易受到开源代码的攻击,网络安全和基础设施安全局(CISA)必须帮助“确保联邦政府、关键基础设施和其他机构安全可靠地使用开源软件。”

毕竟,9月1日。22日,介绍这项立法的政府新闻稿补充说,“世界上绝大多数计算机依赖于开放源码。”这并不是联邦政府第一次注意到开源软件对每个人来说是多么重要。今年1月,美国联邦贸易委员会(US Federal Trade Commission)警告称,将惩罚不解决Log4j安全问题的公司。

美国政府长期以来一直支持开源软件。例如,早在2000年,美国国家安全局就帮助创建了安全增强型Linux(SELinux)。2016年,时任美国首席信息官托尼·斯科特提出了一项支持开源编码的政策,该政策要求“任何专门为联邦政府开发的或由联邦政府开发的新软件都要提供给联邦机构共享和重复使用。美国主机租用它还包括一个试点计划,将导致联邦政府资助的新定制代码的一部分向公众发布。”

然而,《保护开源软件法案》将开源从政策和监管决策领域转移到了联邦法律中。这项法案将指示CISA制定一个风险框架,以评估联邦政府如何使用开放源代码。中钢协还将决定关键基础设施所有者和运营商如何使用相同的框架。

根据开源安全基金会(OpenSSF)在其对该法案的分析中所述,“CISA将制定一个处理开源代码风险的初步评估框架,纳入政府、行业和开源社区的框架和软件安全方面的最佳实践。”

简而言之,CISA不会试图重新发明轮子,而是使用现有最好的开源安全技术。北美洲主机租用这是跟随约瑟夫·拜登总统关于改善国家网络安全的行政令的脚步,该行政令规定,开发商必须“为每个应用程序向购买者提供SBOM[软件材料清单]。”