開源要正式寫進(jìn)法律了？

去年，當(dāng)大家還在為開源的快速發(fā)展而歡呼之際，影響了全球數(shù)百萬臺(tái)計(jì)算機(jī)Log4j 漏洞事件給開源軟件開發(fā)者與使用者敲響了一記警鐘。因而今年，開源軟件及其供應(yīng)鏈安全成為了國內(nèi)熱議的開源問題之一，多個(gè)開源大會(huì)都將開源安全相關(guān)議題提到了重要位置。

誰能想到，Log4j 漏洞事件爆發(fā)半年多以后余威猶在，并成為了美國兩黨議員近日提出的“保護(hù)開源軟件法案”的主要驅(qū)動(dòng)力之一。

這項(xiàng)由美國國土安全和政府事務(wù)委員會(huì)主席、密歇根州民主黨議員 Gary Peters 和俄亥俄州共和黨議員 Rob Portman 提出的新法案，旨在確保聯(lián)邦政府、關(guān)鍵基礎(chǔ)設(shè)施和其他機(jī)構(gòu)安全可靠地使用開源軟件。該法案也被稱為保護(hù)開源軟件法案，立法一旦成功，它將成為聯(lián)邦政府更廣泛地支持開源軟件的健康和安全的歷史性一步。

但據(jù)國內(nèi)開源領(lǐng)域相關(guān)法律專家向CSDN透露：“該法案更多是為了預(yù)防開源軟件帶來的安全問題，目前仍在議案階段，距離成為真正的法律現(xiàn)在是萬里長征第一步。等到真正完成，它將非常值得深度解讀。”

下面一起來了解下該議案的落地動(dòng)作與提案深意。

開源法案如何落地？

提案者之一 Portman 表示，保護(hù)開源軟件法案“將確保美國政府預(yù)測(cè)并減輕開源軟件中的安全漏洞，以保護(hù)美國人最敏感的數(shù)據(jù)。”一個(gè)“軟件安全小組委員會(huì)”將在網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 網(wǎng)絡(luò)安全咨詢委員會(huì)內(nèi)創(chuàng)建。 

對(duì)于如何達(dá)成目標(biāo)，該法案提出了以下幾點(diǎn)要求：

• 它要求CISA“盡最大可能”找到“降低使用開源軟件的系統(tǒng)中的風(fēng)險(xiǎn)”的方法，并聘請(qǐng)經(jīng)驗(yàn)豐富的開源專家來解決Log4j等問題。

• 它給了CISA一年時(shí)間來發(fā)布關(guān)于開源代碼風(fēng)險(xiǎn)的框架。一年后，由 CISA 定期對(duì)聯(lián)邦機(jī)構(gòu)常用的開源代碼組件進(jìn)行評(píng)估。

• 此外，在初始框架發(fā)布兩年后，CISA 需要想辦法將它應(yīng)用于政府以外的關(guān)鍵基礎(chǔ)設(shè)施，并與一個(gè)或多個(gè)關(guān)鍵基礎(chǔ)設(shè)施部門合作。

• 其他機(jī)構(gòu)也將發(fā)揮作用，它要求管理和預(yù)算辦公室 (OMB) 為機(jī)構(gòu)發(fā)布有關(guān)如何安全使用開源軟件的指南。 

推動(dòng)開源發(fā)展需要強(qiáng)心針

“開源軟件是數(shù)字世界的基石，Log4j 漏洞映證了我們對(duì)它的依賴程度。這一事件對(duì)聯(lián)邦系統(tǒng)和關(guān)鍵基礎(chǔ)設(shè)施公司——包括銀行、醫(yī)院和公用事業(yè)公司都構(gòu)成了嚴(yán)重威脅，美國人每天都依賴這些公司提供基本服務(wù)，”參議員 Peters 表示。“這項(xiàng)常識(shí)性的兩黨立法將有助于保護(hù)開源軟件，并進(jìn)一步加強(qiáng)美國對(duì)網(wǎng)絡(luò)犯罪分子的網(wǎng)絡(luò)安全防御。”

《保護(hù)開源軟件法案》是美國首次將開源軟件編入公共基礎(chǔ)設(shè)施，立法一旦成功，它將成為聯(lián)邦政府更廣泛地支持開源軟件的健康和安全的歷史性一步。著名網(wǎng)絡(luò)專家大西洋理事會(huì)斯考克羅夫特戰(zhàn)略與安全中心網(wǎng)絡(luò)治國術(shù)倡議主任 Trey Herr 公開支持了該立法。

但從國家層面推動(dòng)開源發(fā)展并非美國首創(chuàng)。2021 年底，中國首次將開源列入十四五規(guī)劃，其中一個(gè)重要前提是，我國已成為全球開源生態(tài)的重要貢獻(xiàn)力量，參與國際開源社區(qū)協(xié)作的開發(fā)者數(shù)量排名全球第二，且使用開源技術(shù)的企業(yè)占比近90%。但總體而言，國內(nèi)開源生態(tài)建設(shè)尚處起步階段，面臨發(fā)展基礎(chǔ)較弱、底層技術(shù)掌控不足、開源文化氛圍不濃等制約因素。此時(shí)，政策與法律的支持無疑是推動(dòng)開源發(fā)展的強(qiáng)心針。

外力+內(nèi)功的持續(xù)修煉

不僅是美國計(jì)劃從政策法案著手守護(hù)開源，開源安全已經(jīng)逐漸引發(fā)全球的重視。但某些 CISA 官員還是發(fā)現(xiàn)，一些行業(yè)專業(yè)人士已經(jīng)減少了對(duì)開源軟件的使用。雖然許多人認(rèn)為開源軟件與閉源軟件一樣安全，或者比閉源軟件更安全。

因而，無論是針對(duì)開源安全方面的保護(hù)法案，還是國家層面的政策支持，對(duì)開源發(fā)展而言皆是外力，要想更大程度地解決開源安全問題，需要整個(gè)開源供應(yīng)鏈的伙伴們共同努力，才能構(gòu)建可持續(xù)性開源生態(tài)。

參考來源：

https://www.hsgac.senate.gov/media/majority-media/peters-and-portman-introduce-bipartisan-legislation-to-help-secure-open-source-software_?continueFlag=c1068e7e0e455bd9923ad0f16a65f620

https://fcw.com/congress/2022/09/bipartisan-senate-bill-aims-safeguard-open-source-software/377511/