ONCD认为,技术制造商可以通过采用内存安全编程语言来防止整个类别的漏洞进入数字生态系统。ONCD还鼓励研究界解决软件可测量性问题,以便开发更好的诊断方法来衡量网络安全质量。
中存储消息,近日美国白宫国家网络总监办公室 (ONCD) 发布了一份报告,呼吁技术界主动减少网络空间的攻击面。ONCD认为,技术制造商可以通过采用内存安全编程语言来防止整个类别的漏洞进入数字生态系统。ONCD还鼓励研究界解决软件可测量性问题,以便开发更好的诊断方法来衡量网络安全质量。
该报告的标题是“回到构建块:通往安全和可衡量软件的路径”
https://www.whitehouse.gov/oncd/briefing-room/2024/02/26/memory-safety-fact-sheet/
“作为一个国家,我们有能力 - 也有责任 - 减少网络空间的攻击面,并防止整个类别的安全漏洞进入数字生态系统,但这意味着我们需要解决转向内存安全编程语言的难题,”国家网络总监Harry Coker说。“多亏了我们ONCD团队的工作,以及技术社区以及我们的公共和私营部门合作伙伴的大量合作,今天发布的报告概述了在我们迈向软件在设计上是内存安全的未来时,我们面临的威胁和机遇。我也很高兴我们正在与学术界合作,并呼吁帮助我们解决另一个难题:我们如何开发更好的诊断方法来衡量网络安全质量?应对这些挑战对于确保我们能够长期保护我们的数字生态系统并保护我们国家安全至关重要。
通过采用工程前瞻的决策方法,ONCD正在确保技术界的专业知识反映在联邦政府如何处理这些问题中。软件和硬件的创造者可以通过将网络安全结果纳入制造过程,对国家的共享安全产生巨大影响。
“历史上一些最臭名昭著的网络事件——1988 年的 Morris 蠕虫、2003 年的 Slammer 蠕虫、2014 年的 Heartbleed 漏洞、2016 年的 Trident 漏洞、2023 年的 Blastpass 漏洞——都是引人注目的网络攻击,对社会每天依赖的系统造成了现实世界的破坏。所有这些原因的根源都有一个共同的根本原因:内存安全漏洞。三十五年来,内存安全漏洞一直困扰着数字生态系统,但事实并非如此,“国家技术安全助理网络总监 Anjana Rajan 说。“这份报告是由工程师为工程师创建的,因为我们知道他们可以对他们所使用的构建块做出架构和设计决策——这将对我们减少威胁面、保护数字生态系统并最终保护国家的能力产生巨大影响。”
ONCD与不同的利益攸关方群体接触,动员他们加入政府的努力。学术界、民间社会和工业界领导人的支持声明可以在这里找到.
根据美国总统近一年前发布的《国家网络安全战略》的两大主题,今天发布的报告迈出了重要的一步,将网络安全的责任从个人和小企业转移到科技公司和联邦政府等大型组织,这些组织更有能力管理不断变化的威胁。这项工作还与整个联邦政府(包括由 CISA、NSA、FBI 和 NIST 领导的安全设计计划和研发工作)保持一致并建立在安全设计计划和研发工作之上。
报告中关于内存安全的工作补充了国会对这一主题的兴趣。这包括美国参议院和众议院拨款委员会的努力,他们在 2023 财年拨款立法中包括要求 ONCD 就此问题进行简报的指令性报告语言。此外,美国参议院国土安全和政府事务委员会主席加里·彼得斯(Gary Peters,D-MI)和美国参议员罗恩·怀登(Ron Wyden,D-OR)向ONCD强调了他们在内存安全方面的立法努力。
声明: 此文观点不代表本站立场;转载须要保留原文链接;版权疑问请联系我们。
