软件制造商可以通过采用 CISA 的新安全编码指南来提升他们的品牌形象 媒体

全球软件安全新规：为企业提供的机遇

关键要点

政府对软件安全的重视加大：全球多个国家正在加强对生产脆弱软件或设备的公司的监管。CISA的影响力上升：美国网络安全和基础设施安全局(CISA)的新战略计划，专门要求软件开发商提供更安全的产品。自愿指南可能转为强制：虽然当前CISA的安全指导是自愿的，但未来可能会变成强制要求。安全投入将利于品牌建设：企业通过实施安全编码实践来增强竞争力，提升用户信任。

在不断增加的网络攻击、高调的泄露事件以及愈发严峻的威胁环境的推动下，从英国到澳大利亚的各国政府正在收紧对那些生产脆弱软件或包含可被利用代码的设备的公司的监管。此次努力主要由美国网络安全和基础设施安全局CISA牵头，该机构最近发布了其三年战略计划，该计划明确要求软件制造商推出更安全的产品。

尽管CISA在美国国土安全部运营，但自2018年成立以来，该机构迅速成为应对全球网络安全问题的领导者。今天，该机构制定的指导方针在全球范围内产生了深远影响，许多其他国家政府也开始采用CISA的部分建议政策。

CISA的安全设计指南

CISA的安全设计指南呼吁将安全编码的责任重新放回到那些制造人们日益依赖并信任其敏感数据的设备、软件和应用程序的生产者身上。该项目明确许多感到沮丧的技术用户已经意识到，行业需要一种新的网络安全模式，在此模式下，漏洞应在达到公众之前就得到修复。

目前，尽管对公司生产更安全软件的指导和行动呼吁是自愿的，但随着消费者对保护自己设备和应用程序的负担日益感到挫败，这种情况未来可能会发生变化。许多政府官员表示，必须对此进行改变。

“我们已经习惯于技术产品面世时存在数十、数百或数千个缺陷，而这种粗糙的构建在任何其他关键领域都是不可接受的。”CISA局长简伊斯特莉在卡内基梅隆大学的一次活动中表示。“我们已经习惯了网络安全负担不成比例地落在消费者和小型组织的肩上，他们往往对威胁了解最少，并且最难以保护自己。”

新指南为企业提供了绝佳机会

尽管软件、设备、应用程序和其他技术的开发者可能会对CISA及其他政府机构开始将不安全软件的责任转移到制造商感到沮丧，但这其实是一个机会。最终，生产安全软件有利于所有人，包括制造它的公司，以及依赖它的用户和那些使用该软件或应用程序存储或访问数据的人。

我多年来一直在提倡这一立场。安全软件的确能给每个人带来好处，除了需要寻找和利用漏洞以进行他们的非法交易的网络罪犯。

除了这些重要的好处，新指南与自愿指南有朝一日可能转为强制的可能性，也为企业提供了改善其软件编码实践的机会。如果生产安全软件有朝一日会成为强制性要求，那么为何不借此机会，开始帮助开发者社区获得所需的培训和工具，以便立即改善安全编码实践呢？

黑洞加速器免费

将安全编码纳入核心的组织，将在法律责任可能导致对不安全代码处以罚款或其他后果的日子里处于良好的位置。那些始终生产安全代码的组织在这个过程中也将获得许多好处，无论是否有要求成为强制的新政策。

使用安全编码实践提升品牌价值

除了在新产品和服务的开发阶段消除软件漏洞外，企业还可以利用它们的安全编码最佳实践，使自己与那些仍然生产存在漏洞的软件和设备的竞争对手区分开来。

软件开发中的这种长期现状引起了消费者的挫败感，甚至愤怒。消费者厌倦了因自己设备和应用程序中的漏洞而成为攻击者的目标。当CISA局长伊斯特莉谈到这个问题时，有时她的声音中流露出愤怒，能感受到许多技术