A segurança cibernética continua sendo um tema quente. Mais e mais organizações são afetadas por ataques de ransomware, vulnerabilidades críticas em software de código aberto estão no noticiário e vemos indústrias e governos se reunindo para discutir iniciativas para melhorar a segurança do software.
O governo dos EUA tem trabalhado com a indústria de tecnologia e organizações de código aberto como a Linux Foundation e a Open Source Security Foundation para introduzir uma série de iniciativas nos últimos anos.
os Ordem Executiva da Casa Branca para Melhorar a Segurança Cibernética da Nação certamente lançou iniciativas subseqüentes e definiu requisitos para que agências governamentais agissem em segurança de software, e segurança de código aberto em particular. um importante Reunião na Casa Branca com líderes da indústria de tecnologia eles produziram grupos de trabalho ativos e, apenas algumas semanas depois, emitiram o Plano de Mobilização de Segurança de Software de Código Aberto. Este plano incluiu 10 orçamentos e fluxos de trabalho projetados para abordar áreas de segurança de alta prioridade em software de código aberto, desde treinamento e assinaturas digitais até revisões de código para grandes projetos de código aberto e a emissão de um BOM.software (SBOM).
A Lei aborda diretamente as três principais áreas de foco para melhorar a segurança de código aberto: detecção e divulgação de vulnerabilidades, SBOM e OSPO.
Uma iniciativa recente do governo em relação à segurança de código aberto é o Lei de Segurança de Software de Código Aberto, legislação bipartidária pelos senadores americanos Gary Peters, D-Michigan, e Rob Portman, R-Ohio. Os senadores Peters e o senador Portman são presidentes e membros do Comitê de Segurança Interna e Assuntos Governamentais do Senado, respectivamente. Eles estavam no Audiências do Senado da Log4j e essa legislação foi posteriormente introduzida para melhorar a segurança de código aberto e as melhores práticas no governo, estabelecendo as funções do diretor da Agência de Segurança Cibernética e Infraestrutura (CISA).
Este é um ponto de virada na lei dos EUA porque, pela primeira vez, é específico para a segurança do software de código aberto. A legislação reconhece a importância do software de código aberto e reconhece que "um ecossistema de software de código aberto seguro, saudável, vibrante e resiliente é fundamental para garantir a segurança nacional e a vitalidade econômica dos Estados Unidos". Finalmente, afirma que o Governo Federal deve desempenhar um papel de apoio para garantir a segurança a longo prazo do software de código aberto.
A Lei de Segurança de Software de Código Aberto define as tarefas do diretor da CISA e promove divulgação e engajamento com a comunidade de código aberto para melhorar a segurança de longo prazo do software de código aberto. Requer colaboração com entidades governamentais federais, estaduais e locais, bem como com o setor privado e organizações de código aberto, para tarefas como divulgação de vulnerabilidades.
A lei se concentra na avaliação de componentes críticos de software de código aberto e, para isso, exige a promulgação de uma estrutura para avaliar o risco de componentes de software. A estrutura fornecerá orientações sobre:
- Identificação de componentes de código aberto.
- Garantir processos de ciclo de vida de desenvolvimento de software.
- Criação de SBOMs que fornecem um inventário de componentes, versões e vulnerabilidades.
Além disso, a estrutura exigirá informações sobre comunidades de componentes de código aberto e o risco de exploração.
Essa avaliação baseada em estrutura será implementada no nível federal e os SBOMs serão obrigados a mostrar os níveis de risco priorizados. Ele será implementado para proteger a infraestrutura crítica, começando com um piloto, cujos resultados serão apresentados pelo diretor da CISA às comissões do Congresso e depois ao público.
A seção final da lei define orientações para diretores de informação (CIOs) em agências governamentais, que diz que eles devem se basear nas melhores práticas de código aberto para “gerenciar e reduzir o risco de usar software de código aberto; e orientação para contribuir e lançar software de código aberto.” Essas práticas recomendadas estão relacionadas a uma tendência global crescente de organizações que estabelecem cada vez mais Open Source Program Offices (OSPOs) para conduzir o uso prático e estratégico do código-fonte aberto.
Assim como os escritórios de segurança liderados por CISO, os OSPOs estão sendo cada vez mais adotados por organizações que consomem e contribuem com software de código aberto. Começando com um programa piloto modelado após OSPO no setor privado, o objetivo é desenvolver políticas e processos para contribuições do governo e lançamentos de software de código aberto. A OSPO se envolverá com comunidades de código aberto e definirá processos para fortalecer a postura de segurança do software de código aberto como um todo.
A lei aborda diretamente as três principais áreas de foco para melhorar a segurança de código aberto: detecção e divulgação de vulnerabilidades, SBOM e OSPO. É muito promissor ver essas iniciativas em nível de governo. Embora a lei não inclua um mandato para o setor privado, as organizações de todos os setores devem prestar atenção à segurança de código aberto por meio de ferramentas e práticas recomendadas, incluindo SBOM e OSPO.
Embora a legislação proposta precise passar pelo Senado e pela Câmara dos Representantes e receber a assinatura do presidente, essas são etapas sólidas para melhorar a segurança do código aberto e nossa segurança cibernética geral.
