آنچه که قانون نرم افزار منبع باز ایمن انجام می دهد و چه چیزی را از دست می دهد

حداقل یک چیز وجود دارد که جمهوری خواهان و دموکرات ها می توانند در سنای ایالات متحده بر سر آن توافق کنند: اهمیت نرم افزار منبع باز. به طور جدی.

اما در کمال تعجب، این لایحه نکات دیگری را نادیده می گیرد. به عنوان مثال، همه نرم افزارها، نه فقط منبع باز، باید از نظر خطر احتمالی بررسی شوند. همانطور که برد آرکین، SVP و افسر ارشد امنیت و اعتماد سیسکو، در مورد Log4J به کنگره شهادت داد:نرم افزار منبع باز شکست نخوردهمانطور که برخی پیشنهاد کرده‌اند، و این اشتباه است که بگوییم آسیب‌پذیری Log4j شواهدی از نقص منحصر به فرد یا افزایش خطر با نرم‌افزار منبع باز است. حقیقت این است که همه نرم‌افزارها به دلیل نقص‌های ذاتی قضاوت انسان در طراحی، یکپارچه‌سازی و نوشتن نرم‌افزار، دارای آسیب‌پذیری هستند.»

بنابراین، «دو حزبی ایمن سازی قانون نرم افزار منبع باز [PDF] تضمین خواهد کرد که دولت ایالات متحده آسیب‌پذیری‌های امنیتی در نرم‌افزار منبع باز را پیش‌بینی کرده و کاهش می‌دهد تا از حساس‌ترین داده‌های آمریکایی‌ها محافظت کند.”

این لایحه پیشنهاد می کند که از زمان امنیت Log4j انفجار در سال 2021 و آن ادامه پس لرزه ها، نشان داد که چقدر در برابر حملات کد منبع باز آسیب پذیر هستیم آژانس امنیت سایبری و امنیت زیرساخت (CISA) باید به “اطمینان از استفاده ایمن و ایمن از نرم افزار منبع باز توسط دولت فدرال، زیرساخت های حیاتی و دیگران کمک کند.”

بر اساس بنیاد امنیت منبع باز (OpenSSF) در تحلیل خود از قانون، “CISA یک چارچوب ارزیابی اولیه برای مدیریت ریسک کد منبع باز ایجاد می کندبا ترکیب دولت، صنعت و چارچوب های جامعه منبع باز و بهترین شیوه های امنیت نرم افزار.”

OpenSSF تنها گروهی نیست که مایل به همکاری با دولت برای بهبود اساسی امنیت منبع باز است، بلکه نگرانی هایی نیز دارد. ابتکار منبع باز (OSI) دب برایانت، مدیر سیاستگذاری ایالات متحده، نگران است که کنگره “چارچوبی می سازد که به جای حل آن برای همه نرم افزارها، منبع باز را به عنوان یک کلاس خاص از نرم افزارها در نظر می گیرد.”

همانطور که سناتور آمریکایی گری پیترز (D-MI) هفته گذشته گفت:نرم‌افزار متن‌باز پایه‌ی دنیای دیجیتال است.شریک او در سراسر راهرو، راب پورتمن (R-OH)، با این موضوع موافقت کرد و گفت: «رایانه‌ها، تلفن‌ها و وب‌سایت‌هایی که همه ما هر روز استفاده می‌کنیم حاوی نرم‌افزار متن‌باز هستند که در برابر حملات سایبری آسیب‌پذیر هستند».

به هر حال، انتشارات دولت در 22 سپتامبر که این قانون را معرفی کرد، افزود: “اکثریت قریب به اتفاق کامپیوترهای جهان به کد منبع باز متکی هستند.” این دور از اولین باری است که دولت فدرال توجه داشته باشد که چقدر نرم افزار منبع باز برای همه حیاتی شده است. در ژانویه، کمیسیون تجارت فدرال ایالات متحده هشدار داد که این کار را خواهد کرد مجازات شرکت هایی که مشکلات امنیتی Log4j خود را برطرف نمی کنند.

البته، فقط به این دلیل که یک لایحه به کنگره می رسد به این معنی نیست که به قانون تبدیل می شود. با این حال، آن است کمیته این لایحه را به صحن سنا ارائه کرد در 29 سپتامبر. این برای هر صورتحساب در مورد هر موضوعی بسیار سریع است. اگر از کنگره عبور کند، شکی وجود ندارد که بایدن آن را به قانون امضا کند. با شانس، ایمن سازی نرم افزار منبع باز در سال 2023 به قانون کشور تبدیل خواهد شد.

هدر میکر، وکیل معروف منبع باز و OSS Capital شریک عمومی، با خوش بینانه تر اضافه کرد، “خوب است که شاهد تلاش دوجانبه برای بهبود مدیریت امنیت در زیرساخت نرم افزار — از جمله نرم افزار منبع باز باشیم. بازار خصوصی مدت هاست که به دلیل تقاضاها و انتظارات مشتریان برای نرم افزار و ابر، این بهبود را فریاد زده است. اما نظارت دولتی ممکن است به تسریع تلاش‌های بهبود خارج از ترتیبات فروشنده تجاری یا در شرایطی که قدرت بازار فروشنده به فروشندگان اجازه می‌دهد تا در برابر خواسته‌های مشتری عقب نشینی کنند، کمک کند.

این قانون همچنین CISA را ملزم به شناسایی راه‌هایی برای کاهش خطرات نرم‌افزار منبع باز می‌کند. برای تحقق این امر، CISA باید توسعه دهندگان منبع باز را برای رسیدگی به مسائل امنیتی استخدام کند. همچنین پیشنهاد می کند که برخی از آژانس های فدرال شروع به کار کنند دفاتر برنامه منبع باز (OSPO). در نهایت، اداره مدیریت و بودجه (OMB) باید یک کمیته فرعی امنیت نرم‌افزار CISA را تامین مالی کند و راهنمایی‌های فدرال در مورد اینکه کاربران چگونه می‌توانند نرم‌افزار منبع باز را ایمن کنند، صادر کند.

همچنین: مایکروسافت Azure CTO می گوید زمان آن رسیده است که استفاده از C و C++ را برای پروژه های جدید متوقف کنیم

داستان های مرتبط:

منبع: https://www.zdnet.com/article/whats-what-in-the-united-states-securing-open-source-software-act/#ftag=RSSbaffb68

با این حال، هر چند لایحه ناقص باشد، OpenSSF می گوید که “متعهد به همکاری و کار هم در بالادست و هم با جوامع موجود برای پیشبرد امنیت منبع باز برای همه است. ما مشتاقانه منتظر همکاری با سیاست گذاران در سراسر جهان برای بهبود امنیت هستیم. نرم افزاری که همه ما به آن وابسته هستیم.”

افرادی که امنیت منبع باز را از نزدیک دنبال می کنند، قبلاً بسیاری از این موارد را شنیده اند. همانطور که OpenSSF اشاره کرد، “برخی از ایده ها برای ما آشنا به نظر می رسد – برای مثال، استفاده از SBOM ها، اهمیت شیوه های امنیتی فرآیندهای توسعه، ساخت و انتشار)، و فراخوانی برای چارچوب ارزیابی ریسک. [echo] جریان داشبورد ارزیابی ریسک ما از ما طرح بسیج“

همچنین: XeroLinux می تواند زیباترین دسکتاپ لینوکس موجود در بازار باشد

به طور خلاصه، CISA تلاشی برای اختراع مجدد چرخ نخواهد کرد، در عوض از بهترین تکنیک های امنیتی منبع باز موجود استفاده می کند. این امر پیروی از دستور اجرایی رئیس جمهور جوزف بایدن در مورد بهبود امنیت سایبری کشور است که بیان می کرد توسعه دهندگان باید به یک خریدار SBOM ارائه دهند. [Software Bill of Materials] برای هر برنامه.”

با این حال، قانون نرم‌افزار منبع باز ایمن، منبع باز را از حوزه سیاست‌گذاری و تصمیم‌گیری‌های مقرراتی به قانون فدرال منتقل می‌کند. این لایحه به CISA هدایت می‌کند تا چارچوب ریسکی را برای ارزیابی نحوه استفاده از کد منبع باز توسط دولت فدرال ایجاد کند. CISA همچنین در مورد چگونگی استفاده از چارچوب مشابه توسط مالکان و اپراتورهای زیرساخت های حیاتی تصمیم خواهد گرفت.

دولت ایالات متحده مدتهاست که از نرم افزارهای منبع باز پشتیبانی می کند. به عنوان مثال، در سال 2000، آژانس امنیت ملی به ایجاد لینوکس ارتقا یافته امنیت (SELinux) کمک کرد. و در سال 2016، تونی اسکات، مدیر ارشد اطلاعات وقت ایالات متحده، سیاست کدگذاری طرفدار منبع باز را پیشنهاد کرد که مستلزم آن بود که “هر نرم افزار جدیدی که به طور خاص برای یا توسط دولت فدرال توسعه یافته است برای اشتراک گذاری و استفاده مجدد در آژانس های فدرال در دسترس باشد. شامل یک برنامه آزمایشی است که منجر به انتشار بخشی از کد سفارشی جدید با بودجه فدرال برای عموم می شود.”