美国CISA推出“安全设计”承诺倡议，68家软件大厂签署承诺书

美国网络安全和基础设施安全局(CISA)宣布，68家软件制造商已自愿承诺履行其“安全设计”承诺。该计划旨在通过在设计阶段纳入安全措施来增强产品安全性。通过参与承诺，这些制造商致力于实现既定目标。“设计安全”承诺代表了CISA促进安全产品设计举措的重大进步。承诺的七个目标是多重身份验证MFA）；默认口令；减少各类脆弱性；安全补丁；漏洞披露政策；CVE漏洞；以及入侵的证据。每个目标都有制造商承诺努力实现的核心标准，以及实现目标和展示可衡量进展的背景和示例方法。

承诺概述

这是一项专注于企业软件产品和服务的自愿承诺，包括本地软件、云服务和软件即服务(SaaS)。物联网设备和消费产品等实体产品不在承诺范围内，但欢迎希望展示这些领域进展的公司这样做。

通过参与该承诺，软件制造商承诺在来年做出真诚的努力，实现下列目标。如果软件制造商能够在实现目标方面取得可衡量的进展，则制造商应公开记录他们如何在签署承诺后的一年内取得此类进展。如果软件制造商无法取得可衡量的进展，则鼓励制造商在签署承诺后一年内与CISA分享制造商如何努力实现目标以及面临的任何挑战。而且，本着彻底透明的精神，鼓励制造商公开记录他们的方法，以便其他人可以学习。该承诺是自愿的，不具有法律约束力。

该承诺有七个目标。每个目标都有制造商承诺努力实现的核心标准，以及实现目标和展示可衡量进展的背景和示例方法。为了实现多种方法，参与承诺的软件制造商可以自行决定如何最好地满足和展示每个目标的核心标准。展示制造商产品的可衡量进展可以采取多种形式，例如对制造商的所有产品采取行动，或者选择一组产品首先解决并发布其他产品的路线图。

CISA对已经达到或超过这些目标的软件制造商表示认可和赞扬。在软件制造商已经达到或超过目标的情况下，制造商应公开描述他们是如何做到这一点的。在这些情况下，CISA欢迎做出更多努力来超越承诺中的目标。

该承诺旨在补充和建立现有的软件安全最佳实践，包括CISA、NIST、其他联邦机构开发的最佳实践以及国际和行业最佳实践。CISA继续支持采用补充措施，以推进安全的设计态势。

已有68个承诺签署者

68家公司签署了“安全设计”承诺，其中包括Amazon Web Services、思科、谷歌、IBM、微软、Palo Alto Networks和Trend Micro等供应商。其他签署方包括Claroty、CrowdStrike、Cybeats、Finite State、 Forescout、Fortinet、Rapid7、SentinelOne、Sophos、Tenable、Trend Micro和Zscaler 等网络安全公司。这一集体承诺旨在增强产品安全性并促进整个行业的安全设计实践文化。

“设计安全”承诺要求签署者在签署后一年内展示出切实的进展。这包括增加多重身份验证(MFA)的使用、减少默认口令以及解决产品中的漏洞类别。该承诺强调在规定的时间内采取可衡量的行动来增强产品安全性并减少常见的安全风险。

该承诺还旨在展示签署后一年内采取的行动，例如增加客户安装安全补丁、建立允许公开测试的漏洞披露政策（VDP）、提供报告漏洞的明确渠道以及根据最佳实践实现公开披露。

此外，漏洞报告的透明度包括每个CVE记录中准确的CWE和CPE字段、及时发布关键漏洞的CVE，以及增强客户收集影响制造商产品的网络安全入侵证据的能力。

网安行业反应

Veracode就是其中之一，其首席技术官兼联合创始人Chris Wysopal表示：“CISA的Secure by Design 承诺是其与业界合作，大幅减少公民使用产品中可利用缺陷的承诺中向前迈出的强有力、务实的一步。

“设计安全对于整个网络互联世界来说是一个重要的、改变游戏规则的网络安全标准。”

Tenable首席信息安全官Robert Huber表示：“设计安全性是保护更广泛生态系统的关键，确保将网络安全集成到技术产品的基础中。通过从一开始就纳入安全实践，而不是事后才追加，组织可以节省宝贵的时间和资源，同时改善网络卫生并保护其资产。”

此外，谷歌副总裁兼网络安全弹性官希瑟·阿德金斯(Heather Adkins)表示：“设计安全从一开始就是谷歌安全工作的基石。这是一个围绕我们的企业客户和最终用户的安全保障指导原则构建的概念。我们很高兴能够与CISA和业界同行联手，通过设计进一步增强安全性，让人们在上网时更加安全。”

也许并不奇怪，名单上的大部分厂商都是安全提供商。可以认为安全厂商对此问题有共识，即构建安全软件应该成为企业的当务之急。

CISA对此举寄予厚望

CISA去年推出的全球“设计安全”计划通过将网络安全负担从最终用户和个人转移到最有能力承担的技术制造商来实施白宫的国家网络安全战略。CISA敦促软件制造商审查CISA的“安全设计”指南和“安全设计”警报，以在其产品中构建安全性。

CISA局长Jen Easterly在一份媒体声明中表示，“更安全的软件是我们防范国家面临的看似永无休止的网络攻击祸害的最大希望。我很高兴看到领先的软件制造商认识到这一点，加入我们的CISA，共同建设一个通过设计更加安全的未来。”“我对那些已经签署了承诺书的公司表示赞赏，并呼吁所有软件制造商做出承诺，与我们一起创造一个技术安全可靠的世界。”

CISA高级技术顾问Jack Cable表示，通过设计实现更安全的未来确实是可能的。承诺中的项目直接解决了今天在CISA看到的一些最普遍的网络安全威胁，通过做出承诺，软件制造商正在帮助提高美国的国家网络安全基线。每个软件制造商都应该认识到他们有责任保护客户，为美国的国家和经济安全做出贡献。感谢那些签约者的领导力，并希望每个技术制造商都能效仿。

本周早些时候，国土安全部(DHS)和CISA宣布了网络安全审查委员会(CSRB)成员资格的变更。Jamil Jaffer，帕拉丁资本集团风险合伙人、乔治梅森大学斯卡利亚法学院国家安全研究所创始人兼执行董事；David Luber，美国国家安全局(NSA)网络安全局局长；凯蒂·尼克尔斯(Katie Nickels)，红金丝雀情报运营高级总监；Sentinel One的首席情报和公共政策官Chris Krebs将加入CSRB。

参考资源

1、https://industrialcyber.co/supply-chain-security/68-software-manufacturers-commit-to-cisas-secure-by-design-pledge-for-enhanced-product-security/

2、https://www.cisa.gov/securebydesign/pledge

3、https://www.cisa.gov/sites/default/files/2024-05/CISA%20Secure%20by%20Design%20Pledge_508c.pdf

4、https://insight.scmagazineuk.com/cyber-vendors-join-cisa-pledge-for-more-secure-products

声明：本文来自网空闲话plus，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。