专栏名称: 网空闲话plus
原《网空闲话》。主推网络空间安全情报分享,安全意识教育普及,安全文化建设培育。将陆续推出网安快讯、网安锐评、网安政策、谍影扫描、APT掠影、密码技术、OT安全等专集。
目录
相关文章推荐
学习曾国藩  ·  精于算计的人,大多有这3个特征,交往需谨慎! ·  21 小时前  
学习曾国藩  ·  心眼不好的人,身上会有的4个特征,遇到务必远离! ·  昨天  
印象笔记  ·  大象赠书|打破沟通障碍:掌握三种对话类型的秘诀 ·  19 小时前  
学习曾国藩  ·  为人处世时,注意这4种人品行最差,不可深交! ·  2 天前  
学习曾国藩  ·  一个人值不值得深交,就看这三个特征,很准! ·  3 天前  
51好读  ›  专栏  ›  网空闲话plus

产品安全的这10个“坏习惯”你占了几条?

网空闲话plus  · 公众号  ·  · 2024-10-18 07:07

正文

美国网络安全和基础设施安全局(CISA)与联邦调查局(FBI)当地时间10月16日共同发布了一份关于产品安全不良做法的联合指南 ,列举了极度危险的做法,并为软件制造商提供了构建安全设计的软件的建议。该指南 旨在征求公众意见并提高软件制造商对网络安全的重视。这份指南的发布背景是,超过三分之一的政府AI应用案例涉及健康和人类服务部门,而软件的安全缺陷仍然是导致针对关键基础设施如医院、学校的严重攻击的主要原因。CISA和FBI希望通过这份指南,明确指出在软件开发中应避免的极其危险的做法,特别是对于那些生产用于关键基础设施或国家关键功能的软件的制造商。指南的意图是促进软件制造商采取更安全的编码实践,减少可预防的安全漏洞,并提高整个软件供应链的安全性。目前面向公众征求意见, 征询期将于 2024年12月2日结束。
该指南 列出了10条最危险的产品安全实践,分别归属于产品特性、安全特性以及组织流程和政策这三个大类。
一、产品特性方面
描述软件产品可观察的、与安全相关的质量。
1、内存不安全语言的开发(CWE-119及相关弱点)
在有现成的替代内存安全语言可供使用的情况下,使用内存不安全的语言(例如C或C++)开发用于关键基础设施或 国家关键功能( NCF)的新产品线是危险的,并且会显著增加对国家安全、国家经济安全以及国家公共健康和安全的风险。
对于使用内存不安全语言编写的现有产品,如果在2026年1月1日之前未发布内存安全路线图,则非常危险,会大大增加国家安全、国家经济安全和国家公共卫生与安全的风险。内存安全路线图应概述制造商消除优先代码组件(例如面向网络的代码或处理加密操作等敏感功能的代码)中的内存安全漏洞的优先方法。制造商应证明内存安全路线图将显著、优先减少制造商产品中的内存安全漏洞,并证明他们正在做出合理的努力来遵循内存安全路线图。这不适用于宣布支持终止日期在2030年1月1日之前的产品。
2、在SQL查询字符串中包含用户提供的输入(CWE-89)
在用于关键基础设施或NCF服务的产品中,将用户提供的输入直接包含在SQL数据库查询字符串的原始内容中是危险的,并会显著增加国家安全、国家经济安全和国家公共健康和安全的风险。
3、将用户提供的输入纳入操作系统命令字符串(CWE-78)
在用于关键基础设施或NCF服务的产品中,将用户提供的输入直接包含在操作系统命令字符串的原始内容中是危险的,并会显著增加国家安全、国家经济安全和国家公共健康和安全的风险。
4、存在默认口令(CWE-1392和CWE-1393)
发布用于关键基础设施或NCF服务的产品时使用默认口令(CISA将默认口令定义为整个产品中默认存在的通用共享口令)是危险的,会显著增加国家安全、国家经济安全以及国家公共健康和安全的风险。
5、存在已知被利用的漏洞
如果发布用于关键基础设施或NCF的产品时,其组件中包含CISA已知可利用漏洞(KEV)目录中存在的可利用漏洞,则该产品非常危险,会大大增加国家安全、国家经济安全和国家公共卫生安全的风险。此外,如果CISA目录中发布了影响该产品的新KEV,如果产品中的KEV可利用,则未能及时免费向用户发布补丁,如果产品中的KEV不可利用,则未能公开记录漏洞的存在,这非常危险,会大大增加国家安全、国家经济安全和国家公共卫生安全的风险。
6、存在已知可利用漏洞的开源软件
发布用于关键基础设施或NCF的产品时,如果包含已知可利用漏洞的开源软件组件,则非常危险,会显著增加国家安全、国家经济安全以及国家公共健康和安全的风险。[3]此外,如果随后在所包含的开源组件中披露了可利用的漏洞,而未能及时向产品用户免费发布补丁或其他缓解措施,则非常危险,会显著增加国家安全、国家经济安全以及国家公共健康和安全的风险。
二、 安全特性方面
描述产品支持的安全功能。
1、缺乏多因素身份验证
对于用于关键基础设施或NCF服务的产品,如果产品的基线版本不支持多因素身份验证(MFA),则对用户进行身份验证是危险的,并会显著增加对国家安全、国家经济安全和国家公共健康和安全的风险。
此外,2026年1月1日之后未默认为管理员帐户启用MFA的产品非常危险,会大大增加国家安全、国家经济安全以及国家公共卫生和安全的风险。这不适用于宣布在2028年1月1日之前停止支持的产品。
2、缺乏收集入侵证据的能力
对于用于关键基础设施或NCF的产品,如果不向客户提供产品基线版本中足够的工件和功能来收集影响产品的常见入侵形式的证据,则是危险的,并会显著增加国家安全、国家经济安全和国家公共健康和安全的风险,这些证据至少包括:
  • 配置改变或读取配置设置;
  • 身份(例如登录和令牌创建)和网络流(如果适用);以及
  • 访问数据或创建业务相关数据。

三、 组织流程和政策方面
描述软件制造商为确保其安全方法的高度透明度而采取的行动。
1、未能及时发布CVE和CWE
对于用于关键基础设施或NCF的产品,如果软件制造商未能及时发布至少所有严重或高影响漏洞(无论是内部发现还是第三方发现)的CVE,则非常危险,并且会显著增加国家安全、国家经济安全和国家公共卫生与安全的风险。此外,如果未在每个CVE记录中包含CWE字段,则非常危险,并且会显著增加国家安全、国家经济安全和国家公共卫生与安全的风险。






请到「今天看啥」查看全文


推荐文章
学习曾国藩  ·  精于算计的人,大多有这3个特征,交往需谨慎!
21 小时前
学习曾国藩  ·  心眼不好的人,身上会有的4个特征,遇到务必远离!
昨天
印象笔记  ·  大象赠书|打破沟通障碍:掌握三种对话类型的秘诀
19 小时前
学习曾国藩  ·  为人处世时,注意这4种人品行最差,不可深交!
2 天前
学习曾国藩  ·  一个人值不值得深交,就看这三个特征,很准!
3 天前
第一电动汽车网  ·  新能源市场添新兵 智慧能源拟2.4亿美元进军新能源整车制造业
7 年前
黑白漫文化  ·  资讯|《东京喰种》主题咖啡即将限时开业
7 年前
阅读社会  ·  一个人值不值得交往,看他疲惫时的模样
7 年前
环球时报  ·  这件事让很多中国人过足了正义感的瘾,但我们看不下去了
7 年前
FM93交通之声  ·  男子用被捂死妻子,在其胸部、腹部、手上写下“我爱你老婆…”
7 年前
Sov5搜索   ·   小百科   ·   今天看啥   ·   移动版
51好读 - 好文章就要读起来!