去年,当大家还在为开源的快速发展而欢呼之际,影响了全球数百万台计算机Log4j 漏洞事件给开源软件开发者与使用者敲响了一记警钟。因而今年,开源软件及其供应链安全成为了国内热议的开源问题之一,多个开源大会都将开源安全相关议题提到了重要位置。
谁能想到,Log4j 漏洞事件爆发半年多以后余威犹在,并成为了美国两党议员近日提出的“保护开源软件法案”的主要驱动力之一。
这项由美国国土安全和政府事务委员会主席、密歇根州民主党议员 Gary Peters 和俄亥俄州共和党议员 Rob Portman 提出的新法案,旨在确保联邦政府、关键基础设施和其他机构安全可靠地使用开源软件。该法案也被称为保护开源软件法案,立法一旦成功,它将成为联邦政府更广泛地支持开源软件的健康和安全的历史性一步。
但据国内开源领域相关法律专家向CSDN透露:“该法案更多是为了预防开源软件带来的安全问题,目前仍在议案阶段,距离成为真正的法律现在是万里长征第一步。等到真正完成,它将非常值得深度解读。”
下面一起来了解下该议案的落地动作与提案深意。
开源法案如何落地?
提案者之一 Portman 表示,保护开源软件法案“将确保美国政府预测并减轻开源软件中的安全漏洞,以保护美国人最敏感的数据。”一个“软件安全小组委员会”将在网络安全和基础设施安全局 (CISA) 网络安全咨询委员会内创建。
对于如何达成目标,该法案提出了以下几点要求:
它要求CISA“尽最大可能”找到“降低使用开源软件的系统中的风险”的方法,并聘请经验丰富的开源专家来解决Log4j等问题。
它给了CISA一年时间来发布关于开源代码风险的框架。一年后,由 CISA 定期对联邦机构常用的开源代码组件进行评估。
此外,在初始框架发布两年后,CISA 需要想办法将它应用于政府以外的关键基础设施,并与一个或多个关键基础设施部门合作。
其他机构也将发挥作用,它要求管理和预算办公室 (OMB) 为机构发布有关如何安全使用开源软件的指南。
推动开源发展需要强心针
“开源软件是数字世界的基石,Log4j 漏洞映证了我们对它的依赖程度。这一事件对联邦系统和关键基础设施公司——包括银行、医院和公用事业公司都构成了严重威胁,美国人每天都依赖这些公司提供基本服务,”参议员 Peters 表示。“这项常识性的两党立法将有助于保护开源软件,并进一步加强美国对网络犯罪分子的网络安全防御。”
《保护开源软件法案》是美国首次将开源软件编入公共基础设施,立法一旦成功,它将成为联邦政府更广泛地支持开源软件的健康和安全的历史性一步。著名网络专家大西洋理事会斯考克罗夫特战略与安全中心网络治国术倡议主任 Trey Herr 公开支持了该立法。
但从国家层面推动开源发展并非美国首创。2021 年底,中国首次将开源列入十四五规划,其中一个重要前提是,我国已成为全球开源生态的重要贡献力量,参与国际开源社区协作的开发者数量排名全球第二,且使用开源技术的企业占比近90%。但总体而言,国内开源生态建设尚处起步阶段,面临发展基础较弱、底层技术掌控不足、开源文化氛围不浓等制约因素。此时,政策与法律的支持无疑是推动开源发展的强心针。
外力+内功的持续修炼
不仅是美国计划从政策法案着手守护开源,开源安全已经逐渐引发全球的重视。但某些 CISA 官员还是发现,一些行业专业人士已经减少了对开源软件的使用。虽然许多人认为开源软件与闭源软件一样安全,或者比闭源软件更安全。
因而,无论是针对开源安全方面的保护法案,还是国家层面的政策支持,对开源发展而言皆是外力,要想更大程度地解决开源安全问题,需要整个开源供应链的伙伴们共同努力,才能构建可持续性开源生态。
参考来源:
https://www.hsgac.senate.gov/media/majority-media/peters-and-portman-introduce-bipartisan-legislation-to-help-secure-open-source-software_?continueFlag=c1068e7e0e455bd9923ad0f16a65f620
https://fcw.com/congress/2022/09/bipartisan-senate-bill-aims-safeguard-open-source-software/377511/
— 推荐阅读 —