Cybersicherheit ist nach wie vor ein heißes Thema. Immer mehr Organisationen werden von Ransomware-Angriffen heimgesucht, kritische Sicherheitslücken in offener Software machen Schlagzeilen, und wir beobachten, wie Branchen und Regierungen zusammenkommen, um Initiativen zur Verbesserung der Softwaresicherheit zu diskutieren.
Die US-Regierung hat in den letzten Jahren mit der Technologiebranche und Open-Source-Organisationen wie der Linux Foundation und der Open Source Security Foundation zusammengearbeitet, um eine Reihe von Initiativen zu entwickeln.
Das Executive Order des Weißen Hauses zur Verbesserung der Cybersicherheit der Nation Zweifellos wurden Folgeinitiativen in Gang gesetzt und Anforderungen an Regierungsbehörden definiert, um Maßnahmen zur Softwaresicherheit und insbesondere zur Open-Source-Sicherheit zu ergreifen. Ein wichtiger Treffen im Weißen Haus mit führenden Vertretern der Technologiebranche produzierten aktive Arbeitsgruppen, und nur wenige Wochen später gaben sie die heraus Sicherheitsmobilisierungsplan für Open-Source-Software. Dieser Plan umfasste 10 Arbeits- und Budgetströme, die darauf ausgelegt waren, Sicherheitsbereiche mit hoher Priorität in Open-Source-Software zu adressieren, von Schulungen und digitalen Signaturen bis hin zu Code-Reviews für Top-Open-Source-Projekte und die Ausstellung einer Software-Stückliste (SBOM).
Das Gesetz befasst sich direkt mit den drei wichtigsten Schwerpunktbereichen zur Verbesserung der Open-Source-Sicherheit: Schwachstellenerkennung und -offenlegung, SBOMs und OSPOs.
Eine aktuelle Regierungsinitiative zur Open-Source-Sicherheit ist die Open-Source-Software-Gesetz sichern, eine parteiübergreifende Gesetzgebung der US-Senatoren Gary Peters, ein Demokrat aus Michigan, und Rob Portman, ein Republikaner aus Ohio. Die Senatoren Peters und Portman sind jeweils Vorsitzender und hochrangiges Mitglied des Senatsausschusses für Heimatschutz und Regierungsangelegenheiten. Sie waren bei der Log4j Senatsanhörungenund führte anschließend diese Gesetzgebung ein, um die Open-Source-Sicherheit und bewährte Verfahren in der Regierung zu verbessern, indem die Aufgaben des Direktors der Cybersecurity and Infrastructure Security Agency (CISA) festgelegt wurden.
Dies ist ein Wendepunkt in der US-Gesetzgebung, da es sich zum ersten Mal speziell auf die Sicherheit von Open-Source-Software bezieht. Die Gesetzgebung erkennt die Bedeutung von Open-Source-Software an und erkennt an, dass „ein sicheres, gesundes, lebendiges und widerstandsfähiges Open-Source-Software-Ökosystem entscheidend ist, um die nationale Sicherheit und wirtschaftliche Vitalität der Vereinigten Staaten zu gewährleisten“. Abschließend heißt es, die Bundesregierung solle eine unterstützende Rolle bei der Gewährleistung der langfristigen Sicherheit von Open-Source-Software spielen.