La ciberseguridad sigue siendo un tema candente. Cada vez más organizaciones se ven afectadas por ataques de ransomware, las vulnerabilidades críticas de software abierto están en las noticias y vemos que las industrias y los gobiernos se unen para discutir iniciativas para mejorar la seguridad del software.
El gobierno de EE. UU. ha estado trabajando con la industria tecnológica y organizaciones de código abierto como Linux Foundation y Open Source Security Foundation para presentar una serie de iniciativas en los últimos años.
La Orden Ejecutiva de la Casa Blanca sobre la Mejora de la Ciberseguridad de la Nación, sin duda, puso en marcha iniciativas posteriores y definió los requisitos para que las agencias gubernamentales tomen medidas sobre la seguridad del software y, en particular, la seguridad de código abierto. Una importante reunión de la Casa Blanca con líderes de la industria tecnológica produjo grupos de trabajo activos y, solo unas pocas semanas después, emitieron el Plan de Movilización de Seguridad de Software de Código Abierto. Este plan incluía 10 flujos de trabajo y presupuesto diseñados para abordar áreas de seguridad de alta prioridad en el software de código abierto, desde capacitación y firmas digitales hasta revisiones de código para los principales proyectos de código abierto y la emisión de una lista de materiales de software (SBOM).
La Ley aborda directamente las tres principales áreas de enfoque para mejorar la seguridad de código abierto: detección y divulgación de vulnerabilidades, SBOM y OSPO.
Una iniciativa gubernamental reciente con respecto a la seguridad de código abierto es la Ley de seguridad de software de código abierto, una legislación bipartidista de los senadores estadounidenses Gary Peters, demócrata de Michigan, y Rob Portman, republicano de Ohio. Los senadores Peters y Portman son presidentes y miembros de alto rango del Comité Senatorial de Seguridad Nacional y Asuntos Gubernamentales, respectivamente. Estuvieron en las audiencias del Senado de Log4j y posteriormente introdujeron esta legislación para mejorar la seguridad de código abierto y las mejores prácticas en el gobierno al establecer los deberes del director de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA).
Este es un punto de inflexión en la legislación estadounidense, porque, por primera vez, es específica para la seguridad del software de código abierto. La legislación reconoce la importancia del software de código abierto y reconoce que “un ecosistema de software de código abierto seguro, saludable, vibrante y resistente es crucial para garantizar la seguridad nacional y la vitalidad económica de los Estados Unidos”. Finalmente, establece que el Gobierno Federal debe desempeñar un papel de apoyo para garantizar la seguridad a largo plazo del software de fuente abierta.