美国参议院小组批准开源软件法案

美国参议院国土安全委员会周三批准了“开源软件法案”。该开源软件法案起因于影响广泛的Log4j漏洞。该漏洞于去年年底被发现后导致全球企业和政府陷入慌乱，争先恐后地保护其网络免遭无处不在的漏洞利用。

两周前，思科的研究人员透露，他们发现今年夏天美国、加拿大、日本等地的多家能源公司遭到利用Log4j漏洞的黑客攻击。多家网络安全公司警告说，尽管全球开展了修补漏洞活动，但Log4j漏洞仍然是一个严峻问题。

美国国土安全部(DHS)的一位高级官员上个月表示，网络安全官员可能会花费“十年或更长时间”来处理持续暴露的Log4j漏洞。

开源软件法案由两党参议员Gary Peters (D-Mich.)和Rob Portman (R-Ohio)共同发起，要求网络安全和基础设施安全局（CISA）在明年制定一个开源软件风险框架，详细说明联邦政府如何依赖开源代码。

与此同时，管理和预算办公室将发布关于联邦实体如何保护开源软件的指南。

CISA还必须聘请一批开源安全专家来加强防御未来使用此类代码的黑客攻击。

推动该法案的参议员们表示，联邦政府是世界上最大的开源软件用户之一，除了支持私营部门的使用外，“必须能够管理自己的风险”。

大西洋理事会的Trey Herr认为，该法案将“有史以来第一次将开源软件认定为公共基础设施”。

该法案现已提交参议院全体审议。然而，由于距离中期选举还剩不多的立法日，该法案可能会与另一项立法挂钩，例如参议院将在下个月审议的年度国防政策法案。

除“开源软件法案”外，该委员会还批准了《工业控制系统网络安全培训法》（要求CISA为使用关键基础设施的网络安全专业人员提供免费培训计划）和《总统杯网络安全竞赛法》，该法案将确保每年举办一次网络安全竞赛活动。

参考链接：