Tehisintellekt
Küberturvalisus on jätkuvalt kuum teema. Üha rohkem organisatsioone mõjutavad lunavararünnakud, kriitilised avatud tarkvara haavatavused on uudistes ning me näeme, et tööstused ja valitsused tulevad kokku, et arutada algatusi tarkvara turvalisuse parandamiseks.
USA valitsus on viimastel aastatel teinud koostööd tehnoloogiatööstuse ja avatud lähtekoodiga organisatsioonidega, nagu Linux Foundation ja Open Source Security Foundation, et viia läbi mitmeid algatusi viimastel aastatel.
a Valge Maja korraldus rahva küberjulgeoleku parandamise kohta Kindlasti käivitas see hilisemaid algatusi ja määras valitsusasutustele nõuded tarkvaraturbe ja eriti avatud lähtekoodiga turvalisuse alaste meetmete võtmiseks. Oluline Kohtumine Valges Majas tehnoloogiatööstuse juhtidega moodustasid aktiivsed rakkerühmad ja vaid paar nädalat hiljem andsid nad välja Avatud lähtekoodiga tarkvara turvalisuse mobiliseerimise plaan. See plaan sisaldas 10 eelarvet ja töövoogu, mis on mõeldud avatud lähtekoodiga tarkvara kõrge prioriteetse turvavaldkonnaga tegelemiseks, alates koolitusest ja digitaalallkirjastamisest kuni suuremate avatud lähtekoodiga projektide koodiülevaatuste ja BOM-i väljastamiseni.
Seadus käsitleb otseselt kolme peamist avatud lähtekoodiga turvalisuse parandamise valdkonda: haavatavuse tuvastamine ja avalikustamine, SBOM ja OSPO.
Valitsuse hiljutine algatus avatud lähtekoodiga turvalisuse osas on avatud lähtekoodiga tarkvara turvaseadus, USA sensaatorite Gary Petersi (D-Mich) ja Rob Portmani (R-Ohio) kahepoolsed õigusaktid. Senaatorid Peters ja Portman on vastavalt Senati sisejulgeoleku- ja valitsusasjade komisjoni esimehed ja liikmed. Nad olid Log4j senati kuulamised ja see õigusakt võeti hiljem kasutusele avatud lähtekoodiga turvalisuse ja valitsuse parimate tavade parandamiseks, kehtestades küberturvalisuse ja infrastruktuuri turbeagentuuri (CISA) direktori ülesanded.
See on pöördepunkt USA seadusandluses, sest esimest korda on see spetsiifiline avatud lähtekoodiga tarkvara turvalisusele. Õigusaktis tunnistatakse avatud lähtekoodiga tarkvara tähtsust ja tunnistatakse, et "turvaline, terve, elujõuline ja vastupidav avatud lähtekoodiga tarkvara ökosüsteem on Ameerika Ühendriikide riikliku julgeoleku ja majandusliku elujõulisuse tagamiseks ülioluline." Lõpuks märgitakse selles, et föderaalvalitsus peab mängima toetavat rolli avatud lähtekoodiga tarkvara pikaajalise turvalisuse tagamisel.
Avatud lähtekoodiga tarkvara turbeseadus määratleb CISA direktori ülesanded ning soodustab avatud lähtekoodiga kogukonnaga suhtlemist ja kaasamist avatud lähtekoodiga tarkvara pikaajalise turvalisuse parandamiseks. See nõuab koostööd föderaal-, osariigi- ja kohaliku omavalitsuse üksustega, aga ka erasektori ja avatud lähtekoodiga organisatsioonidega, et täita selliseid ülesandeid nagu haavatavuse avalikustamine.
Seadus keskendub avatud lähtekoodiga tarkvara kriitiliste komponentide hindamisele ja nõuab selleks tarkvarakomponentide riski hindamise raamistiku väljakuulutamist. Raamistik annab juhiseid:
- Avatud lähtekoodiga komponentide tuvastamine.
- Tagada tarkvaraarenduse elutsükli protsessid.
- SBOM-ide loomine, mis pakuvad komponentide, versioonide ja haavatavuste loendit.
Lisaks nõuab raamistik teavet avatud lähtekoodiga komponentide kogukondade ja kasutamise ohu kohta.
Seda raamistikupõhist hindamist rakendatakse föderaalsel tasandil ja SBOM-id peavad näitama prioriteetseid riskitasemeid. Seda rakendatakse kriitilise infrastruktuuri turvamiseks, alustades pilootprojektist, mille tulemusi tutvustab CISA direktor kongressi komiteedele ja seejärel avalikkusele.
Seaduse viimane osa määratleb juhised valitsusasutuste teabeametnikele (CIO), mis peaks põhinema avatud lähtekoodiga parimatel tavadel, et "hallata ja vähendada avatud lähtekoodiga tarkvara kasutamise riski; ja juhiseid avatud lähtekoodiga tarkvara kaasamiseks ja avaldamiseks. Need parimad tavad on seotud kasvava ülemaailmse suundumusega organisatsioonides, kus luuakse üha enam avatud lähtekoodiga programmibüroosid (OSPO), et juhtida avatud lähtekoodi praktilist ja strateegilist kasutamist.
Sarnaselt CISO juhitud turvabüroodele võtavad OSPOd üha enam kasutusele organisatsioonid, kes tarbivad avatud lähtekoodiga tarkvara ja panustavad sellesse. Alustades pilootprogrammiga, mis on loodud OSPO eeskujul erasektoris, on eesmärk töötada välja poliitikad ja protsessid valitsuse panuse ja avatud lähtekoodiga tarkvara väljalasete jaoks. OSPO teeb koostööd avatud lähtekoodiga kogukondadega ja määratleb protsessid, et tugevdada avatud lähtekoodiga tarkvara kui terviku turvalisust.
Seadus käsitleb otseselt kolme peamist avatud lähtekoodiga turvalisuse parandamise valdkonda: haavatavuse tuvastamine ja avalikustamine, SBOM ja OSPO. Väga paljutõotav on näha neid algatusi valitsuse tasandil. Kuigi seadus ei sisalda erasektori volitusi, peaksid organisatsioonid erinevates tööstusharudes pöörama tähelepanu avatud lähtekoodiga turvalisusele tööriistade ja parimate tavade, sealhulgas SBOM ja OSPO kaudu.
Kuigi kavandatavad õigusaktid peavad läbima senati ja Esindajatekoda ning saama presidendi allkirja, on need kindlad sammud avatud lähtekoodiga turvalisuse ja meie üldise küberturvalisuse parandamiseks.
