सिक्योरिंग ओपन सोर्स सॉफ्टवेयर एक्ट क्या करता है और इसमें क्या कमी है

अमेरिकी सीनेट में कम से कम एक बात पर रिपब्लिकन और डेमोक्रेट सहमत हो सकते हैं: ओपन-सोर्स सॉफ़्टवेयर का महत्व। गंभीरता से।

जैसा कि अमेरिकी सीनेटर गैरी पीटर्स (डी-एमआई) ने पिछले सप्ताह कहा था, "ओपन-सोर्स सॉफ़्टवेयर डिजिटल दुनिया का आधार है।" पूरे गलियारे में उनके साथी, रॉब पोर्टमैन (आर-ओएच) ने सहमति व्यक्त करते हुए कहा, "हम सभी प्रतिदिन जिन कंप्यूटर, फोन और वेबसाइटों का उपयोग करते हैं उनमें ओपन-सोर्स सॉफ़्टवेयर होता है जो साइबर हमले के प्रति संवेदनशील होता है।" 

इसलिए, "द्विदलीय ओपन सोर्स सॉफ्टवेयर अधिनियम सुरक्षित करना [पीडीएफ] यह सुनिश्चित करेगा कि अमेरिकी सरकार अमेरिकियों के सबसे संवेदनशील डेटा की सुरक्षा के लिए ओपन-सोर्स सॉफ़्टवेयर में सुरक्षा कमजोरियों का अनुमान लगाए और उन्हें कम करे।"

यह विधेयक प्रस्तावित करता है कि चूंकि Log4j सुरक्षा 2021 में विस्फोट, और यह लगातार झटके, दिखाया कि हम ओपन-सोर्स कोड हमलों के प्रति कितने असुरक्षित हैं साइबर सुरक्षा और बुनियादी ढांचा सुरक्षा एजेंसी (सीआईएसए) "यह सुनिश्चित करने में मदद करनी चाहिए कि ओपन-सोर्स सॉफ़्टवेयर का उपयोग संघीय सरकार, महत्वपूर्ण बुनियादी ढांचे और अन्य लोगों द्वारा सुरक्षित रूप से किया जाता है।"

आख़िरकार, सितम्बर. 22 सरकारी विज्ञप्ति में कानून पेश करते हुए कहा गया, "दुनिया में अधिकांश कंप्यूटर ओपन-सोर्स कोड पर निर्भर हैं।" यह पहली बार नहीं है कि संघीय सरकार ने इस बात पर ध्यान दिया है कि ओपन-सोर्स सॉफ़्टवेयर सभी के लिए कितना महत्वपूर्ण हो गया है। जनवरी में, अमेरिकी संघीय व्यापार आयोग ने चेतावनी दी थी उन कंपनियों को दंडित करें जो अपनी Log4j सुरक्षा समस्याओं को ठीक नहीं करती हैं.

अमेरिकी सरकार लंबे समय से ओपन-सोर्स सॉफ़्टवेयर का समर्थन करती रही है। उदाहरण के लिए, 2000 में, राष्ट्रीय सुरक्षा एजेंसी ने सुरक्षा-उन्नत लिनक्स (SELinux) बनाने में मदद की. और, 2016 में, तत्कालीन अमेरिकी मुख्य सूचना अधिकारी टोनी स्कॉट ने एक प्रो-ओपन-सोर्स कोडिंग नीति का प्रस्ताव रखा जिसके लिए किसी भी "नए" की आवश्यकता थी संघीय सरकार द्वारा या उसके लिए विशेष रूप से विकसित सॉफ़्टवेयर को संघीय भर में साझा करने और पुन: उपयोग के लिए उपलब्ध कराया जाना है एजेंसियां. इसमें एक पायलट कार्यक्रम भी शामिल है जिसके परिणामस्वरूप उस नए संघीय वित्त पोषित कस्टम कोड का एक हिस्सा जनता के लिए जारी किया जाएगा।"

भी:XeroLinux बाज़ार में सबसे सुंदर Linux डेस्कटॉप हो सकता है

हालाँकि, सिक्योरिंग ओपन सोर्स सॉफ्टवेयर एक्ट, ओपन सोर्स को नीति और विनियमन निर्णयों के दायरे से संघीय कानून में ले जाता है। यह विधेयक सीआईएसए को यह मूल्यांकन करने के लिए एक जोखिम ढांचा विकसित करने का निर्देश देगा कि संघीय सरकार द्वारा ओपन-सोर्स कोड का उपयोग कैसे किया जाता है। सीआईएसए यह भी तय करेगा कि महत्वपूर्ण बुनियादी ढांचे के मालिकों और ऑपरेटरों द्वारा समान ढांचे का उपयोग कैसे किया जा सकता है।

के अनुसार ओपन सोर्स सिक्योरिटी फाउंडेशन (ओपनएसएसएफ) अधिनियम के अपने विश्लेषण में, "सीआईएसए ओपन-सोर्स कोड जोखिम से निपटने के लिए एक प्रारंभिक मूल्यांकन ढांचा तैयार करेगा, सरकार, उद्योग और ओपन-सोर्स सामुदायिक ढांचे और सॉफ्टवेयर सुरक्षा से सर्वोत्तम प्रथाओं को शामिल करना।" 

संक्षेप में, सीआईएसए मौजूदा ओपन-सोर्स सुरक्षा तकनीकों का सर्वोत्तम उपयोग करने के बजाय, पहिये को फिर से बनाने की कोशिश नहीं करेगा। यह राष्ट्र की साइबर सुरक्षा में सुधार पर राष्ट्रपति जोसेफ बिडेन के कार्यकारी आदेश के नक्शेकदम पर चलता है, जिसमें कहा गया था कि डेवलपर्स को "खरीदार को एसबीओएम [सामग्री का सॉफ्टवेयर बिल] प्रदान करना होगा प्रत्येक आवेदन के लिए।"

अधिनियम में सीआईएसए को ओपन-सोर्स सॉफ़्टवेयर जोखिमों को कम करने के तरीकों की पहचान करने की भी आवश्यकता होगी। ऐसा करने के लिए, सीआईएसए को सुरक्षा मुद्दों के समाधान के लिए ओपन-सोर्स डेवलपर्स को नियुक्त करने की आवश्यकता है। इसमें यह भी प्रस्ताव है कि कुछ संघीय एजेंसियां ​​शुरू करें मुक्त स्रोत कार्यक्रम कार्यालय (ओएसपीओ). अंत में, प्रबंधन और बजट कार्यालय (ओएमबी) को सीआईएसए सॉफ्टवेयर सुरक्षा उपसमिति को वित्त पोषित करने और उपयोगकर्ताओं को ओपन-सोर्स सॉफ़्टवेयर को कैसे सुरक्षित कर सकते हैं, इस पर संघीय मार्गदर्शन जारी करने की आवश्यकता होगी।

जो लोग ओपन-सोर्स सुरक्षा का बारीकी से पालन करते हैं, उन्होंने इसके बारे में पहले भी बहुत कुछ सुना है। जैसा कि ओपनएसएसएफ ने कहा, "कुछ विचार हमें परिचित लगते हैं - उदाहरण के लिए, एसबीओएम का उपयोग, सुरक्षा प्रथाओं का महत्व विकास, निर्माण और रिलीज प्रक्रियाएं), और एक जोखिम मूल्यांकन ढांचे के लिए एक कॉल [इको] हमारे जोखिम मूल्यांकन डैशबोर्ड स्ट्रीम से हमारा लामबंदी योजना."

लेकिन, आश्चर्य की बात है कि बिल में अन्य बिंदु गायब हैं। उदाहरण के लिए, केवल ओपन सोर्स ही नहीं, बल्कि सभी सॉफ़्टवेयर की संभावित जोखिम के लिए जाँच की जानी चाहिए। जैसा कि सिस्को के एसवीपी और मुख्य सुरक्षा और ट्रस्ट अधिकारी ब्रैड आर्किन ने लॉग4जे के बारे में कांग्रेस को गवाही दी: "ओपन-सोर्स सॉफ़्टवेयर विफल नहीं हुआ, जैसा कि कुछ ने सुझाव दिया है, और यह सुझाव देना गलत होगा कि Log4j भेद्यता ओपन-सोर्स सॉफ़्टवेयर के साथ एक अद्वितीय दोष या बढ़े हुए जोखिम का प्रमाण है। सच्चाई यह है कि सभी सॉफ़्टवेयर में डिज़ाइन, एकीकरण और लेखन में मानवीय निर्णय की अंतर्निहित खामियों के कारण कमजोरियाँ होती हैं।"

भी:Microsoft Azure CTO का कहना है कि नई परियोजनाओं के लिए C और C++ का उपयोग बंद करने का समय आ गया है

फिर भी, बिल भले ही अपूर्ण हो, ओपनएसएसएफ का कहना है कि वह "सभी के लिए ओपन सोर्स सुरक्षा को आगे बढ़ाने के लिए अपस्ट्रीम और मौजूदा समुदायों दोनों के साथ सहयोग और काम करने के लिए प्रतिबद्ध है। हम जिस सॉफ़्टवेयर पर निर्भर हैं, उसकी सुरक्षा में सुधार के लिए हम दुनिया भर के नीति निर्माताओं के साथ सहयोग करने के लिए तत्पर हैं।"

ओपनएसएसएफ एकमात्र ऐसा समूह नहीं है जो ओपन-सोर्स सुरक्षा में बुनियादी तौर पर सुधार के लिए सरकार के साथ काम करने को तैयार है, लेकिन उसे चिंताएं भी हैं। ओपन सोर्स पहल (ओएसआई) अमेरिकी नीति निदेशक डेब ब्रायंट को चिंता है कि कांग्रेस "एक ऐसा ढांचा तैयार कर रही है जिसका लक्ष्य ओपन सोर्स को सभी सॉफ्टवेयर के लिए हल करने के बजाय सॉफ्टवेयर के एक विशेष वर्ग के रूप में मानना ​​है।"

हीदर मीकर, एक प्रसिद्ध ओपन-सोर्स वकील और ओएसएस कैपिटल सामान्य साझेदार, अधिक आशावादी रूप से जोड़ा गया, "सॉफ्टवेयर बुनियादी ढांचे में सुरक्षा के प्रबंधन में सुधार के लिए द्विदलीय प्रयास देखना अच्छा है - जिसमें ओपन-सोर्स सॉफ़्टवेयर भी शामिल है। सॉफ्टवेयर और क्लाउड सेवा विक्रेताओं के लिए ग्राहकों की मांगों और अपेक्षाओं के माध्यम से निजी बाजार लंबे समय से इस सुधार की मांग कर रहा है। लेकिन सरकारी निरीक्षण से वाणिज्यिक विक्रेता के बाहर सुधार प्रयासों में तेजी लाने में मदद मिल सकती है व्यवस्थाएं, या ऐसी स्थितियों में जहां विक्रेता बाजार की शक्ति विक्रेताओं को ग्राहक के खिलाफ दबाव डालने की अनुमति देती है माँग करता है।"

निःसंदेह, सिर्फ इसलिए कि कोई विधेयक कांग्रेस तक पहुंच जाता है इसका मतलब यह नहीं है कि वह कानून बन जाएगा। फिर भी, यह समिति ने बिल को सीनेट के पटल पर आगे बढ़ाया सितंबर को 29. किसी भी मुद्दे पर किसी भी बिल के लिए यह बहुत तेज़ है। यदि यह इसे कांग्रेस के माध्यम से बनाता है, तो इसमें कोई संदेह नहीं है कि बिडेन इस पर हस्ताक्षर करके कानून बना देंगे। भाग्य के साथ, 2023 में ओपन-सोर्स सॉफ़्टवेयर सुरक्षित करना देश का कानून बन जाएगा।

संबंधित कहानियां:

• ओपन सोर्स इनिशिएटिव ने एआई और मशीन लर्निंग तक अपनी भूमिका का विस्तार किया है
• FTC उन कंपनियों पर कार्रवाई करेगी जो Log4j को पैच न करने के कारण ग्राहक डेटा को उजागर करती हैं
• लिनक्स और ओपन-सोर्स समुदाय बिडेन की साइबर सुरक्षा चुनौती के लिए आगे आए हैं