Правительство США предложило проверять закупаемое СПО на уязвимости

На заседании Палаты представителей США 4 декабря был внесен на обсуждение законопроект, озаглавленный Cyber Supply Chain Management and Transparency Act of 2014. Проект нового закона предложили Эд Ройс (Ed Royce), представитель от штата Калифорния, и Линн Дженкинс (Lynn Jenkins), представитель от штата Канзас. Авторы законопроекта принадлежат к оппозиционной Республиканской партии.

В законопроекте предлагается обязать компании, продающие программное обеспечение правительству, доказывать чиновникам, что ни их продукт, ни один из его компонентов, включая открытые, не содержит известных на данный момент уязвимостей. Для этого компании, предлагающей госведомству закупить у нее ПО, необходимо будет приложить к коммерческому предложению полный список компонентов, которые включает в себя ПО, и результаты их тестирования на уязвимости.

Это касается как сторонних проприетарных, так и открытых компонентов, о чем особо отмечается в законопроекте. Закон касается компонентов любого ПО, включая автоматизированные системы и аппаратные прошивки.

По словам Эда Ройса, на такую идею правительство натолкнули последние отчеты аналитиков по безопасности, согласно которому 71% программного обеспечения, используемого правительством, содержит в себе компоненты с критическими уязвимостями.

«Любой дом крепок ровно настолько, насколько крепок его фундамент, поэтому неудивительно, что количество кибер-атак возрастает, - заявил представитель Палаты. - Этот закон защитит кибер-инфраструктуру нашей нации, так как мы будет уверены в том, что элементы, из которых она построена, безопасны и лишены уязвимостей».

Законопроект также требует, чтобы все поставщики, использующие в своих системах открытые компоненты, предоставляли техническую возможность быстрой установки патчей и обновлений для этих компонентов. Это обеспечит своевременную реакцию на будущие обнаружения серьезных уязвимостей в компонентах с открытым кодом, подобных недавно прогремевшей уязвимости OpenSSL - Heartbleed.

Это касается, в первую очередь, крупных государственных проектов, таких как healthcare.gov - печально известный сервис онлайн-регистрации американских медицинских страховых полисов.

«Я озвучила наши опасения по поводу беззащитности нашей кибер-инфраструктуры государственным организациям, ответственным за healthcare.gov, - заявила Линн Дженкинс, второй автор законопроекта. - Но проблема не ограничивается одним сайтом: всему федеральному правительству не хватает рекомендаций по обеспечению безопасности сайтов».

Новое законодательство, по мнению авторов, является жизненно важным. «Оно установит необходимые проверки, которые позволят правительству убедиться в том, что у него есть инструменты для создания более надежной и безопасной системы для налогоплательщиков», - заключают авторы.