拜登政府的网络安全策略与软件责任

关键要点

• 拜登政府的国家网络安全策略提议将不安全软件的责任从用户转移到制造商。
• 软件产业需要改变文化，以提升软件质量和安全性。
• 政府需要加强对软件安全的监管，但更重要的是产品团队需要在安全方面承担责任。
• MOVEit案例强调当前软件安全漏洞的严重性及其影响。

拜登政府于今年早些时候发布的
提出了一个重大理念，这可能会动摇软件行业的基础：将不安全软件的责任从消费者转移回制造产品的公司。

政府干预我们经济最活跃部分之一这一做法是否有意义？简短的回答是：有。

然而，正确实施这一策略需要关注软件产品团队的心态。我在软件产品开发领域工作了数十年，但在几年前进入网络安全领域后，我才真正意识到这一问题：现代软件世界的运行方式更像是一个刚拿到驾驶执照的青少年——远未准备好应对其所需的权力与责任。

拜登政府对软件质量的关注是正确的。从气囊到阿司匹林，对于潜在危险的产品，我们都已设立了监管监督，而这也不合理地期望顾客有时间、工具或专业知识来判断安全性。鉴于软件如今推动现代生活，增加监督是合理的。

挑战在于监管的程度是多少。大多数软件工程师在安全问题上往往既无知又过于自信；我们需要改变这种文化。我们需进行全行业的意识提升，围绕两个重要的认知：

首先，漏洞不仅仅是“哎呀，让我们发布一个补丁”。漏洞产生了黑客所追逐的裂缝，往往导致灾难性的泄露事件。

其次，针对这些漏洞的黑客生态系统的规模和复杂性远超大多数人的想象。

我们通常认为黑客是罪犯，但在过去的30年里，几乎每个国家都建立了网络间谍或网络战争能力。如今，这已演变为一个由国家支持的黑客产业，规模庞大，类似于苹果或谷歌，专门用于逆向工程软件和武器化安全缺陷。

软件团队在一场数字战争中无意间成为了参与者，而国家正利用他们的工作。这应该让开发者感到愤怒，若他们对此有所认识。越快让产品团队意识到这一点，工程师们越能专注于他们擅长的事情：解决问题。我们需要思考如何在第一时间避免漏洞，同时不压制创新的步伐。

那么，我们的产品如今有多“buggy”？记得Yugo吗？在许多最糟糕的汽车榜单上，1986年，消费者报告将其形容为“一堆勉强组装的螺母和螺栓。”这就是今天的软件。而它是黑客的梦想。为此，安全行业创建了一个标准化的漏洞数据库（由MITRE维护的CVE系统）。，“漏洞管理”和“补丁管理”已经成为整个产品类别。数十家公司专门帮助捍卫者的安全团队弥补软件中的裂缝。

这说明了什么关于软件？在CVE数据库中，已知的安全漏洞超过180,000个。我们集体已对低质量软件麻木，甚至对这些更新视而不见。

而这正是我们需要工程师们认同的地方。数十年来，行业已接受故障设计的迭代软件开发方法——偏向于敏捷和速度。因此，我们需要改变工作的方式。这不会通过自上而下的指令来实现。产品团队需要承诺从基础上重视安全。

为了做到这一点，使破坏可见是有帮助的。例如，在我写这篇文章时，某处正在燃烧的网络安全野火，就是由软件漏洞引发的。

以 为例。5月28日，ProgressSoftware（一家大型受信软件供应商）的客户报告了MOVEit文件管理系统的异常行为。Progress确认存在关键漏洞，着手修复，并迅速发布了补丁。然而，两个星期后，