Novo projeto de lei cibernético visa corrigir segurança de código aberto no governo

Legisladores federais iniciaram na semana passada o processo de melhor segurança do software de código aberto usado por agências governamentais com um novo projeto de lei intitulado “Secureing Open Source Software Act of 2022”.

Novo projeto de lei cibernético visa corrigir segurança de código aberto no governo
Novo projeto de lei cibernético visa corrigir segurança de código aberto no governo

Gary Peters, D-Mich., e Rob Portman, R-Ohio, introduziram a legislação que busca abordar os riscos de software de código aberto no governo. O Projeto de Lei proposto, S. 4913, aguarda agora ação da Comissão de Segurança Interna e Assuntos Governamentais.

A legislação vem depois de uma audiência que Peters e Portman se reuniram em 2 de fevereiro para investigar o incidente log4j que foi descoberto em dezembro de 2021. Ele orienta a Agência de Segurança cibernética e infraestrutura (CISA) a ajudar a garantir que o software de código aberto seja usado com segurança e segurança pelo governo federal, infraestrutura crítica e outros.

Peters, presidente do Comitê de Segurança Interna e Assuntos Governamentais, convocou a audiência de fevereiro com especialistas da indústria de cibersegurança e da comunidade de pesquisa para examinar a vulnerabilidade descoberta recentemente no Log4j. Especialistas em segurança cibernética chamaram essa violação de uma das mais graves e difundidas já vistas.

Pacote Bipartidário

Na audiência de fevereiro, Peters destacou um marco, um pacote legislativo bipartidário que aumentaria a capacidade do país de combater ameaças de cibersegurança em curso contra a infraestrutura crítica e o governo federal. Ele mencionou especificamente potenciais ataques cibernéticos patrocinados pelo governo russo em retaliação ao apoio dos EUA na Ucrânia.

Log4j, que significa Utilitário de Registro para Java, faz parte do Projeto de Serviços de Registro Apache de código aberto dentro da Apache Software Foundation. O software inclui múltiplas variações da estrutura de registro Log4j para diferentes implantações de programação e casos de uso.

O problema de segurança envolve a fraqueza de execução remota de código que permite que um invasor derrube malware ou ransomware em um sistema de destino. Isso pode causar um completo comprometimento da rede e o roubo de informações confidenciais, bem como a possibilidade de sabotagem.

A vulnerabilidade “deixa tudo, desde nossa infraestrutura crítica, como bancos e redes de energia até agências governamentais abertas a violações de rede. A falha no código pode ter impactos catastróficos na vida e nos meios de subsistência dos americanos”, disse Peters durante sua declaração de abertura na audiência de fevereiro.

O que é proposto

O projeto de lei proposto estabelece as atribuições do diretor da Agência de Segurança cibernética e infraestrutura em relação à segurança de software de código aberto e outros propósitos. Justifica a necessidade de adoção em dois fatores-chave:

Um ecossistema de software de código aberto saudável, vibrante e resiliente é crucial para garantir a segurança nacional e a vitalidade econômica dos Estados Unidos.
O software de código aberto faz parte da fundação da infraestrutura digital que promove uma internet livre e aberta.

Tanto os pontos fortes exclusivos do software de código aberto quanto o investimento histórico inconsistente em segurança de software de código aberto criaram desafios especiais na garantia de software de código aberto, de acordo com o projeto de lei proposto. Assim, o governo federal deve desempenhar um papel coadjuvante na garantia da segurança a longo prazo do software de código aberto.

A intenção da legislação proposta é alterar certas definições relativas ao software de código aberto e outras disposições da Pátria.

Um fator-chave no projeto de lei é esclarecer o significado e o estabelecimento de uma Nota fiscal de Software de Materiais (SBOM). Um segundo fator se concentra nos deveres do diretor da agência de segurança cibernética e segurança de infraestrutura e nas medidas específicas para garantir e regular os esforços de segurança cibernética.

Insider Views

Gerenciar software de código aberto é fundamentalmente diferente do gerenciamento de software comercial. Não importa se esse software está fora da prateleira ou criado com base em um contrato, de acordo com Tim Mackey, principal estrategista de segurança do Centro de Pesquisa em Cibersegurança da Synopsys.

“Proteger adequadamente o software de código aberto requer uma compreensão desta e de outras realidades de como o código aberto entra em organizações como o governo dos EUA”, disse ele ao LinuxInsider.

A Lei de Software de Código Aberto de 2022 recomenda muitas atividades que tradicionalmente são de responsabilidade de um Escritório de Programa de Código Aberto (OSPO). Por exemplo, é responsabilidade de um OSPO determinar quais riscos de código aberto são aceitáveis para uma aplicação e o contexto em que ela é implantada, observou.

Gerenciar software de código aberto é fundamentalmente diferente do gerenciamento de software comercial. Não importa se esse software está fora da prateleira ou criado com base em um contrato, de acordo com Tim Mackey, principal estrategista de segurança do Centro de Pesquisa em Cibersegurança da Synopsys.

“Proteger adequadamente o software de código aberto requer uma compreensão desta e de outras realidades de como o código aberto entra em organizações como o governo dos EUA”, disse ele ao LinuxInsider.

A Lei de Software de Código Aberto de 2022 recomenda muitas atividades que tradicionalmente são de responsabilidade de um Escritório de Programa de Código Aberto (OSPO). Por exemplo, é responsabilidade de um OSPO determinar quais riscos de código aberto são aceitáveis para uma aplicação e o contexto em que ela é implantada, observou.

Mais preocupações expressas

Um ponto positivo da lei atual é que a CISA será mais prática com software de código aberto e contratação de mantenedores talentosos. Os novos contratados terão que conhecer esse espaço por dentro e por fora, contribuindo, em última instância, de soluções de segurança de código aberto construídas durante esse processo de volta à comunidade, de acordo com Lorenc.

O código aberto está aqui para ficar. Em vez de debater seus méritos, devemos olhar para frente e reconhecer os benefícios únicos que o código aberto proporciona e usá-los para melhorar a segurança da infraestrutura crítica de nossa nação”, sugeriu.

Outra área que a legislação não considera bem é a implantação do SBOM, observou Lorenc. A implantação é muito baixa, e o espaço ainda é muito cedo.

“Esse é apenas um dos muitos problemas que o governo enfrentará com a identificação de uma lista de softwares críticos. Isso já foi tentado algumas vezes no passado na indústria e continua sendo um desafio, com o relatório do Censo II de Harvard e da The Linux Foundation como uma tentativa recente”, ele ofereceu.

O governo deve priorizar essa área trabalhando muito estreitamente com a indústria, observou. Qualquer lista tem implicações comerciais mais amplas, e a indústria tem acesso a mais dados hoje.

“Obter uma lista de software crítico fora é factível este ano, mas um preciso será desafiador. A ferramenta SBOM é muito cedo, e a maior parte do que está em uso hoje se concentra em métodos baseados em SCA que só adivinham o que está dentro de um software”, explicou.

Dados SBOM de maior qualidade são necessários para realmente entender quais softwares são usados em todas as indústrias e no governo federal. De qualquer forma, acrescentou Lorenc, o governo deve ser muito transparente sobre os métodos utilizados para determinar esta lista. O mesmo vale para as desvantagens e deficiências desses métodos para permitir que a lista seja interpretada corretamente pela indústria mais ampla.

Review & Discussion

Comment

Please read our comment policy before submitting your comment. Your email address will not be used or publish anywhere. You will only receive comment notifications if you opt to subscribe below.