美国 2022 年保护开源软件法案是朝着正确方向迈出的一步

哈维尔佩雷斯贡献者

Javier Perez 对技术和开源软件充满热情，是领先的开源传播者和 Perforce 的产品管理高级总监。

网络安全仍然是一个热门话题。越来越多的组织受到勒索软件攻击，严重的开源软件漏洞成为新闻，我们看到行业和政府聚集在一起讨论提高软件安全性的举措。

在过去两年中，美国政府与技术行业和开源​​组织（例如 Linux 基金会和开源安全基金会）合作，提出了多项举措。

白宫关于改善国家网络安全的行政命令无疑启动了后续举措，并为政府机构在软件安全，特别是开源安全方面采取行动设定了要求。白宫与科技行业领袖举行的一次重要会议产生了积极的工作组，仅几周后他们就发布了开源软件安全动员计划。该计划包括 10 个工作流和预算，旨在解决开源软件中的高优先级安全领域，从培训和数字签名，到主要开源项目的代码审查和物料清单发布软件 (SBOM)。

该法案直接针对提高开源安全性的三个主要领域：漏洞检测和披露、SBOM 和 OSPO。

政府最近一项关于开源安全的举措是《保护开源软件法案》，这是由美国密歇根州民主党参议员加里·彼得斯和俄亥俄州共和党参议员罗伯·波特曼共同提出的两党法案。参议员彼得斯和波特曼分别是参议院国土安全和政府事务委员会的主席和高级成员。他们参加了参议院 Log4j 听证会，然后通过确立网络安全和基础设施安全局 (CISA) 主任的职责，引入了这项立法，以提高政府的开源安全性和最佳实践。

这是美国立法的一个转折点，因为它首次专门针对开源软件的安全性。该立法承认开源软件的重要性，并认识到“一个安全、健康、充满活力和有弹性的开源软件生态系统对于确保美国的国家安全和经济活力至关重要”。最后，它指出联邦政府应在确保开源软件的长期安全方面发挥支持作用。