Cybersicherheit bleibt ein heißes Thema. Immer mehr Organisationen sind von Ransomware-Angriffen betroffen, kritische Schwachstellen in Open-Source-Software sind in den Nachrichten, und wir sehen, wie Branchen und Regierungen zusammenkommen, um Initiativen zur Verbesserung der Softwaresicherheit zu diskutieren.
Die US-Regierung hat in den letzten Jahren mit der Technologiebranche und Open-Source-Organisationen wie der Linux Foundation und der Open Source Security Foundation zusammengearbeitet, um eine Reihe von Initiativen einzuführen.
die Executive Order des Weißen Hauses zur Verbesserung der Cybersicherheit der Nation Es hat sicherlich nachfolgende Initiativen gestartet und Anforderungen für Regierungsbehörden definiert, um Maßnahmen zur Softwaresicherheit und insbesondere zur Sicherheit von Open Source zu ergreifen. ein wichtiger Treffen im Weißen Haus mit Führungskräften der Technologiebranche Sie produzierten aktive Arbeitsgruppen und nur wenige Wochen später gaben sie die heraus Sicherheitsmobilisierungsplan für Open-Source-Software. Dieser Plan umfasste 10 Budgets und Workflows, die darauf ausgelegt sind, Sicherheitsbereiche mit hoher Priorität in Open-Source-Software zu adressieren, von Schulungen und digitalen Signaturen bis hin zu Code-Reviews für große Open-Source-Projekte und die Herausgabe einer BOM.-Software (SBOM).
Das Gesetz befasst sich direkt mit den drei Hauptschwerpunkten zur Verbesserung der Open-Source-Sicherheit: Schwachstellenerkennung und -offenlegung, SBOM und OSPO.
Eine aktuelle Regierungsinitiative zur Open-Source-Sicherheit ist die Open-Source-Software-Sicherheitsgesetz, überparteiliche Gesetzgebung durch die US-Senatoren Gary Peters, D-Michigan, und Rob Portman, R-Ohio. Die Senatoren Peters und Senator Portman sind Vorsitzende bzw. hochrangige Mitglieder des Senatsausschusses für Innere Sicherheit und Regierungsangelegenheiten. Sie waren im Log4j Senatsanhörungen und diese Gesetzgebung wurde später eingeführt, um die Open-Source-Sicherheit und bewährte Verfahren in der Regierung zu verbessern, indem die Aufgaben des Direktors der Cybersecurity and Infrastructure Security Agency (CISA) festgelegt wurden.
Dies ist ein Wendepunkt im US-Recht, da es sich zum ersten Mal speziell auf die Sicherheit von Open-Source-Software bezieht. Die Gesetzgebung erkennt die Bedeutung von Open-Source-Software an und erkennt an, dass „ein sicheres, gesundes, lebendiges und widerstandsfähiges Open-Source-Software-Ökosystem entscheidend ist, um die nationale Sicherheit und wirtschaftliche Vitalität der Vereinigten Staaten zu gewährleisten“. Abschließend heißt es, die Bundesregierung solle eine unterstützende Rolle bei der Gewährleistung der langfristigen Sicherheit von Open-Source-Software spielen.
Das Open Source Software Security Act definiert die Aufgaben des CISA-Direktors und fördert die Kontaktaufnahme und das Engagement mit der Open Source-Community, um die langfristige Sicherheit von Open Source-Software zu verbessern. Es erfordert die Zusammenarbeit mit Bundes-, Landes- und Kommunalbehörden sowie dem Privatsektor und Open-Source-Organisationen für Aufgaben wie die Offenlegung von Schwachstellen.
Das Gesetz konzentriert sich auf die Bewertung kritischer Komponenten von Open-Source-Software und fordert dafür die Veröffentlichung eines Frameworks zur Bewertung des Risikos von Softwarekomponenten. Der Rahmen bietet Orientierung zu:
- Identifizierung von Open-Source-Komponenten.
- Stellen Sie die Lebenszyklusprozesse der Softwareentwicklung sicher.
- Erstellung von SBOMs, die eine Bestandsaufnahme von Komponenten, Versionen und Schwachstellen bereitstellen.
Darüber hinaus erfordert der Rahmen Informationen über Gemeinschaften von Open-Source-Komponenten und das Risiko der Ausbeutung.
Diese rahmenbasierte Bewertung wird auf Bundesebene umgesetzt, und die SBOMs müssen priorisierte Risikostufen anzeigen. Es wird implementiert, um kritische Infrastrukturen zu sichern, beginnend mit einem Pilotprojekt, dessen Ergebnisse vom CISA-Direktor den Kongressausschüssen und dann der Öffentlichkeit präsentiert werden.
Der letzte Abschnitt des Gesetzes definiert Leitlinien für Chief Information Officers (CIOs) in Regierungsbehörden, die besagen, dass sie auf Best Practices von Open Source basieren müssen, um „das Risiko der Verwendung von Open Source-Software zu verwalten und zu verringern; und Anleitungen zum Beitragen und Veröffentlichen von Open-Source-Software.“ Diese Best Practices beziehen sich auf einen wachsenden globalen Trend, dass Organisationen immer mehr Open Source Program Offices (OSPOs) einrichten, um die praktische und strategische Nutzung von Open Source-Code voranzutreiben.
Wie CISO-geführte Sicherheitsbüros werden OSPOs zunehmend von Organisationen übernommen, die Open-Source-Software verwenden und dazu beitragen. Beginnend mit einem Pilotprogramm nach dem Vorbild von OSPO im Privatsektor besteht das Ziel darin, Richtlinien und Prozesse für Regierungsbeiträge und Open-Source-Software-Releases zu entwickeln. OSPO wird mit Open-Source-Communities zusammenarbeiten und Prozesse definieren, um die Sicherheitslage von Open-Source-Software als Ganzes zu stärken.
Das Gesetz befasst sich direkt mit den drei Hauptschwerpunktbereichen zur Verbesserung der Open-Source-Sicherheit: Schwachstellenerkennung und -offenlegung, SBOM und OSPO. Es ist sehr vielversprechend, diese Initiativen auf Regierungsebene zu sehen. Obwohl das Gesetz kein Mandat für den privaten Sektor enthält, sollten Organisationen in allen Branchen der Open-Source-Sicherheit durch Tools und Best Practices, einschließlich SBOM und OSPO, Aufmerksamkeit schenken.
Während die vorgeschlagene Gesetzgebung den Senat und das Repräsentantenhaus passieren und die Unterschrift des Präsidenten erhalten muss, sind dies solide Schritte zur Verbesserung der Open-Source-Sicherheit und unserer gesamten Cybersicherheit.
