美国网络安全和基础设施安全局局长 Jen Easterly 指出，交付有漏洞的不安全代码的软件供应商是网络犯罪中真正的坏人。

Easterly 在本周三 Mandiant 公司举行的 mWise 大会上发布主旨演讲时提到，“真相是：技术厂商就是”在自身产品中“构造问题”，“为恶棍攻击受害者敞开大门”。她还呼吁观众停止用花哨诗意的名称“美化”犯罪团伙，他提议使用“麻杆胚子”或“邪恶白鼬”等类似名称。

她甚至认为将安全漏洞称为“安全脆弱性”也过于仁慈。因为该词组“实际上扩散了责任。我们应该将其称为‘产品缺陷’。”她认为不应自然指责受害者未能快速给产品打补丁，而是“应该问问：软件为何需要如此多的紧急补丁？真相就是：我们需要向技术厂商提出更多要求。”

Easterly 戏谑地指出，虽然参加本年度信息安全大会的观众都有工作保障，但这个行业的角色是让恶意分子从一开始就更难以攻陷系统。她提到，“虽然网络安全行业达到数十亿美元的市场，但我们仍然发现有数万亿美元的软件质量问题导致数万亿美元的全球网络犯罪问题。”她还提到，不会有人“完全自担风险”购买汽车或乘坐飞机，但对于支撑美国关键基础设施的软件却每天都在这么做。她表示，“遗憾的是，我们已成为技术例外论神秘主义的猎物。我们不存在网络安全问题，而是存在软件质量问题。我们不需要更多的安全产品，而是需要更多安全的产品。”

这是 Easterly 自掌管CISA以来所放出的言论。她倾向于在行业大会上引起关注，如在RSA大会上她就曾对参会人员表示，安全代码“是我们能让勒索软件和网络攻击成为令人震惊的异常情况的唯一方式。”

当然，如果编写无缺陷代码超级简单，那么本应马到成功了。一些开发人员很明显疏忽或不明就里，导致漏洞和其它bug的出现，而有时候意图良好的有技能的人类就是会犯错。无论如何，Easterly 对当前的缺陷率不满。

也是在RSA大会上，近70家大公司如AWS、微软、谷歌、思科和IBM等签署了CISA提出的设计即安全承诺，致力于“协同努力”在一年内实现七个安全软件目标，并能够量化这一进展。Easterly 在 mWise 大会上表示，该数字已增长到近200个厂商。

但该承诺仍然是自愿性质的，因此软件企业如未能遵循指南，如在产品中提高对多因素认证机制的使用并减少默认密码，那么如果未能做到则不会受到惩罚。Easterly 希望改变这一点。她建议技术买家通过采购力对软件厂商施压，询问供应商是否已经签署了该承诺。希望它们不仅仅是在构建设计即安全条款的纸张上签字而已。

为此，CISA 刚刚发布一项指南，为软件买家列出应该向软件厂商询问的问题，更好地理解它们是否将安全放在产品开发生命周期的优先级。Easterly 提到，“发出你的声音，积极主动地，通过你的采购力，通过要求来推动设计即安全。”接着，祈祷越来越多的厂商真的开始重视预发布软件测试和安全代码这些事。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~