美国政府:软件衡量问题“最难解决”,厂商应发布“及时、完整、一致”的CVE和CWE数据
2024-2-28 17:59:36 Author: mp.weixin.qq.com(查看原文) 阅读量:3 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

美国政府呼吁软件厂商发布“及时、完整和一致”的安全漏洞文档,帮助改进所生成代码的质量和安全。

白宫国家网络总监总监办公室 (ONCD) 表示,漏洞文档的透明度应该包括CVE和CWE数据,助力开发实证性指标,有效衡量代码。白宫指出,“要在保护数字化生态系统方面获得进展,有必要重新调整激励措施,利好长期投资。为使这一调整生成生态系统范围内的行为改变,有必要开发出实证指标,衡量软件的网络安全质量。”

白宫认为,“目前开展的工作是为了对改进软件质量和安全方式的了解,包括漏洞协同披露、响应计划和及时的CVE记录,体现了该生态系统中的关键决策。”软件的可衡量性“是最难解决的开放研究问题之一”。

ONCD报告指出,该问题不仅要求优化已有的指标或工具,还要求探索软件工程和网络安全研究的新前沿。该机构指出,“通过推进衡量和评估软件安全的能力,在软件发布之前可预测和缓解更多的漏洞。从这些衡量结果中开发出的指标也将为很多利益相关者的决策提供信息。”

ONCD 报告提到,通过分析软件评估网络安全质量受可量化的内容限制,并提醒称传统方法如统计已知漏洞“不足以且不一定提供对于未来威胁或攻击向量的洞见”。

白宫还通过该报告督促行业转向内存安全的编程语言,以大规模减少漏洞数量并改进生态系统中的网络安全质量。白宫指出,“这些方法将是雄心勃勃的任务,它要求恒心和多行业在未来几年的关注。我们必须努力主动消除所有软件漏洞类别。软件和硬件厂商能采取的最具影响力的措施之一是使用内存安全编程语言。这些语言提供了一种消除而非仅仅缓解所有漏洞类别的方法。这对于技术社区改进整个数字化生态系统的网络安全性而言是一个绝佳机会。”

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

推荐阅读

美国政府督促开发人员使用内存安全语言

美国政府发布《运营技术环境中的开源软件安全提升》指南

美国政府2023网络战略旨在帮助盟友

关于美国政府发布的开源软件安全RFI,你需要知道的都在这里

美国政府发布关于软件安全保证要求的指南

原文链接
https://www.securityweek.com/us-gov-says-software-measurability-is-hardest-problem-to-solve/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247518947&idx=1&sn=77c34541716805d63e8a99054b2a3d10&chksm=ea94bb89dde3329f596b670daee9bba62ccf2b5dda888b0f13657a73252509792921c9f7c280&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh