美国立法者提出一项保护开源软件的新法案
美国的《保护开源软件法案》将责成管理和预算办公室提供有关如何安全使用开源软件的说明。
美国立法者周四提出了一项要求,美国网络安全和基础设施安全局(CISA)需创建风险框架以提高开源软件安全性的措施。为了降低依赖开源代码的系统风险,各机构将利用该框架,CISA 将决定关键基础设施所有者和运营商是否也可以自愿使用它。
大多数系统依赖于免费提供的并由社区维护的开源软件来构建网站和应用程序;最大的用户之一是美国联邦政府。该立法由美国国土安全委员会主席兼高级成员、俄亥俄州共和党参议员 Sens. Rob Portman、R-Ohio 和 Gary Peters D-Mich 在一次听证会后提出,以回应在开源代码中发现的影响美国联邦系统和全球数百万其他系统的严重、广泛的 Log4j 漏洞。
“这一事件对联邦系统和关键基础设施公司——包括银行、医院和公用事业公司——构成了严重威胁,美国人每天都依赖这些公司提供基本服务,”彼得斯在公告中说。“这项明智的两党立法将有助于保护开源软件,并进一步加强我们的网络安全防御,防止网络犯罪分子和外国对手对全国网络发起的不断的攻击。”
这项《保护开源软件法》还要求美国管理和预算办公室为各机构发布关于保护开源软件的指南,在 CISA 网络安全咨询委员会中设立一个软件安全小组委员会,并要求 CISA 聘请开源软件专家协助处理网络事件。
在此之前,Peters 和 Portman 的提议已获得美国参议院一致通过并签署成为法律,以加强州和地方政府的网络防御,并迫使关键基础设施的所有者和运营商向 CISA 报告重大网络攻击和勒索软件付款。
作者:Laveesh Kocher 选题:lkxed 译者:littlebirdnest 校对:wxy