跳到主要内容

美国保障开放源码软件法。你需要了解的情况 

通过 9月 27, 2022#!30周四, 29 9月 2022 08:04:05 -0700p0530#30周四, 29 9月 2022 08:04:05 -0700p-8America/Los_Angeles3030America/Los_Angelesx30 29上午30上午-30周四, 29 9月 2022 08:04:05 -0700p8America/Los_Angeles3030America/Los_Angelesx302022周四, 29 9月 2022 08:04:05 -0700048049上午星期四=136#!30周四, 29 9月 2022 08:04:05 -0700pAmerica/Los_Angeles9#9月 29th, 2022#!30周四, 29 9月 2022 08:04:05 -0700p0530#/30周四, 29 9月 2022 08:04:05 -0700p-8America/Los_Angeles3030America/Los_Angelesx30#!30周四, 29 9月 2022 08:04:05 -0700pAmerica/Los_Angeles9#博客
securing open source software act of 2022

作者:Mike Dolan、Cailean Osborne和David A. Wheeler,Ashwin Ramaswami提供资料。

"开放源码软件(OSS)是数字世界的基石,Log4j的漏洞表明我们对它的依赖程度。这项合理的两党立法将有助于确保开放源码软件的安全,并进一步加强我们的网络安全防御,防止网络犯罪分子和外国对手对全国的网络发动不间断的攻击"。

- 参议员加里-彼得斯(D-MI),参议院国土安全和政府事务委员会主席

确保开放源码软件安全法案》是关于什么的?

21日阶段 2022年9月,美国参议员加里-彼得斯(D-MI)和罗布-波特曼(R-OH),参议院国土安全和政府事务委员会的主席和排名成员。 介绍 两党的立法,。 确保开源软件的安全法 ("法案"),通过加强软件的安全性,帮助保护联邦机构和关键基础设施系统。

该法背后的理由是什么?

确保开源软件安全法案》是对2021年11月底发现的Log4Shell漏洞的回应。随后的一个 关于Log4Shell的听证会 讨论了主要的发现和学习,重点是适用于所有软件的安全的实际挑战,而不仅仅是开放源代码。

在听证会的书面声明中,参议院国土安全和政府事务委员会主席彼得斯参议员。 写道 说Log4Shell "事件对联邦系统和关键基础设施公司--包括银行、医院和公用事业--构成了严重威胁,而美国人每天都依赖这些基本服务。"2022年7月,联邦网络安全审查委员会 称Log4Shell为 "特有的"。 并说它将构成几十年的危险。

该立法将做什么?

CISA的开源重点

正如所介绍的那样,该法案将为以下方面赋予新的责任 网络安全和基础设施安全局(CISA)负责加强网络安全和基础设施保护的联邦机构。该立法要求CISA "在实际可行的最大范围内 "聘请具有开源社区专业知识的专业人员,并允许CISA在CISA的内部建立一个软件安全咨询小组委员会,其中包括开源安全。 网络安全咨询委员会.CISA是国土安全部(DHS)的一个业务部门。

开放源代码风险评估框架

CISA将为处理开放源代码风险制定一个初步的评估框架,其中包括政府、行业和开放源代码社区的框架以及软件安全的最佳实践。利用这个框架,CISA将至少每两年对联邦系统使用的开放源码软件组件进行一次自动分析。最后,CISA将建立一个试点项目,考虑对非联邦关键基础设施系统进行类似分析。

联邦机构OSPOs

最后,该法将建立一个试点计划,以建立一个 开放源码项目办公室 (至少在一个联邦机构内的OSPO,它将以私营部门、非营利组织和学术界的现有OSPO为模型。此外,管理和预算办公室(OMB)将为每个联邦机构的首席信息官发布关于如何为开放源码软件做贡献和管理风险的指南,同时考虑到行业和社区的最佳实践。

欲了解更多信息,请参阅 "2022年开放源代码软件安全法草案摘要" 下面。

接下来的步骤是什么?

这项拟议的立法是国会围绕联邦政府内部网络安全发出的最新信号。从2021年5月开始,有一个巨大的焦点。 白宫关于改善国家网络安全的行政命令 及其对联邦机构内生命周期管理实践的关注。该法案有可能被进一步修改。拟议的立法将必须在参议院和众议院通过投票,并由总统签署。目前,该立法的下一步是2022年9月28日在国土安全和政府事务委员会举行的标记会议。

我们有什么看法?

看到国会采取肯定的措施来解决软件供应链中的网络安全挑战,这非常令人鼓舞。美国国会对开源软件所发挥的关键作用的关注与白宫对这些问题的关注是一致的。一些想法听起来很熟悉--例如,使用软件材料清单(SBOMs),开发、构建和发布流程的安全实践的重要性(SLSA级别、OpenSSF记分卡和OpenSSF最佳实践徽章是指示性的行业指标),以及对风险评估框架的呼吁,与我们的 "风险评估仪表板 "流相呼应。 动员计划.这表明OpenSSF有机会与政府机构一起工作,就像我们与任何其他组织一样。我们也喜欢呼吁对OSPO进行试点,因为我们相信它们可以在开放源码软件的安全使用和更多的上游贡献中发挥关键作用。也许最重要的是,人们承认有必要考虑工业界和开源软件社区。

令人惊讶的是,在Log4Shell听证会上讨论的一些观点并不是拟议立法的一部分。例如,听证会讨论了评估第三方软件应适用于所有软件(开源或闭源)。正如思科公司高级副总裁兼首席安全和信任官Brad Arkin所作证的那样,将开放源码单独作为一个独特的风险来源是一个错误。Arkin先生说。 

"然而,认为开放源码软件是唯一的风险来源是不正确的。所有的软件都有可能包含漏洞。所有用于企业和商业产品及服务的软件都需要进行生命周期管理。我们需要一起进一步改善软件安全的基线,包括开放源代码软件。我们共同需要提高我们在发现和修复问题时的速度和效率。我们还需要共同提高我们抵御攻击的能力,特别是在我们努力开发、分发和应用软件补丁和缓解措施的时候"。

该法案对开放源码软件的关注可能会使许多人忽视所有软件的内在风险--封闭源码软件也不能幸免。单独挑出开源软件可能会导致额外的费用和任务,而这些费用和任务似乎没有明确的规定。如果这样做会增加政府内部采用或部署开放源码软件的成本,相对于封闭源码软件而言,这将是很不幸的。任何授权或风险评估都应该适用于任何许可证的软件。该法案似乎还忽略了为关键开放源代码的安全工作提供公共资金可能产生的非常积极的影响,因为每一类用户都会从中受益。

开源安全基金会(OpenSSF)致力于在上游和现有社区进行合作和工作,为所有人推进开源安全。我们期待着与世界各地的政策制定者合作,以提高我们所依赖的软件的安全性。

2022年开放源代码软件安全法草案摘要

该法草案 是在2022年9月22日提出的。该草案指出,其目的是确定网络安全和基础设施安全局(CISA)局长在开放源代码软件安全方面的职责。CISA是国土安全部的一个业务部门。CISA作为国家网络总监办公室(ONCD)和管理与预算办公室(OMB)范围内的联邦机构之一进行协调。

该法案首先定义了我们开源生态系统中的术语,我们可能会发现有兴趣审查。

  1. 开源软件 是指"可供公众使用、研究、再使用、修改、增强和再分发的人可读源代码的软件。"
  2. 开源软件社区 是指"由个人、基金会、非营利组织、公司和其他实体组成的社区。
    1. 开发、贡献、维护和发布开放源代码软件;或
    2. 以其他方式努力确保开源软件生态系统的安全。"
  3. 开源软件组件 是指"向公众提供的个人开放源码软件库。"

该法随后规定了CISA主任的职责。

  1. 与联邦和非联邦实体进行外联、接触和协调,以加强和支持开放源码软件的安全。
  2. 公开发布一个框架,纳入政府、行业和开源社区的框架和最佳做法"用于评估开源软件组件的风险,包括直接和间接的依赖关系。"该框架必须至少包括:
    1. 一个特定的开源软件组件中代码的安全属性,例如代码是否是用内存安全的编程语言编写的。
    2. 某一特定开源软件组件的开发、构建和发布过程的安全实践,如维护者使用多因素认证和发布的加密签名。
    3. 一个特定的开源软件组件中公开的、未修补的漏洞的数量和严重程度。
    4. 一个特定的开放源码软件组件的部署广度。
    5. 与特定开源软件组件的集成或部署地点相关的风险水平,例如该组件是在网络边界还是在有特权的地点运行;以及
    6. 某一特定开源软件组件的社区健康状况,包括(如适用)对该开源软件组件的当前和历史投资及维护水平,如个人维护者的数量和活动。
  3. 使用该框架,至少每两年进行一次联邦开放源码软件评估。评估的范围将包括联邦机构直接或间接使用的开源软件组件,其依据是现成的SBOMs、软件清单和其他可获得的数据来源。 
    1. 该法指示CISA将评估工作自动化"在最大程度上可行的情况下"和"将用于进行评估的任何工具作为开放源码软件发布。"
    2. 该法指示CISA制定"1个或更多排名靠前的组件清单在评估中确定的","例如,根据组件的关键性、风险程度或使用情况进行排序,或两者结合。"
    3. 该法授权CISA酌情促进公开分享结果和数据集。
  4. 对CISA为关键基础设施实体(联邦政府以外)进行相同框架评估的可行性进行试点研究

该法草案增加了一个小组委员会,负责"软件安全,包括开放源码软件安全"到现有的网络安全咨询委员会。该咨询委员会的任务是:"就制定、完善和实施与原子能机构网络安全任务有关的政策、方案、规划和培训,酌情向局长提供咨询、协商、报告和建议。."

该法案要求ONCD、OMB和CISA为联邦机构首席信息官(CIO)发布指导意见,以便。

  1. CIO们如何"应该,考虑到行业和开源软件社区的最佳实践。
    1. 管理和减少使用开放源码软件的风险;以及
    2. 指导贡献和发布开放源码软件;"
  2. CIO们如何"应该使每个被覆盖的机构能够安全地使用开放源码软件,而不是抑制其使用。";

然后,该法案草案要求制定一个试点计划,在至少一个联邦机构内建立一个OSPO,该计划以私营部门、非营利组织和学术界的OSPO为模式,以。

  1. "支持所辖机构安全使用开放源码软件。
  2. 酌情与所涉机构的总法律顾问办公室和采购办公室协商,为所涉机构的开放源码软件的贡献和发布制定政策和程序。
  3. 与开放源码软件社区对接;以及
  4. 管理和减少所辖机构使用开放源码软件的风险。"

这篇文章代表作者的观点,不一定反映所有OpenSSF成员的观点。