科技制造商必须对安全、设计选择承担更多责任

news2024/11/15 8:53:35

网络安全和基础设施安全局局长称当今商业网络安全的现状是"不可持续的",公司、消费者和政府必须集体转变期望,让主要软件和硬件制造商对不安全的产品负责,而不是用户。

拜登政府预计将在未来几天发布一项战略,该战略将更加重视监管科技制造商的安全和安保设计选择。

在2月27日在卡内基梅隆大学发表演讲时说,美国的政策制定者以及第三方产品的消费者和用户已经允许漏洞百出的软件程序或几乎可以在各个层面受到攻击的硬件成为常态。

我们已经正常化了这样一个事实,即网络安全负担不成比例地落在消费者和小组织的肩上,他们往往最不了解威胁,最没有能力保护自己。

我们已经将安全性归为小型组织中的IT人员或首席信息安全官和企业的事实正常化。

但很少有人拥有资源、影响力或责任感,来激励人们采用安全性与成本、上市速度和功能相比得到适当优先考虑的产品。

本月早些时候,美国看到中国发射的一个气象民用气球越过美国边境,普遍感到震惊和愤怒,甚至对美国发生这种情况感到不解。这种事件对美国经济和国家安全的破坏要大得多,尽管这些入侵行为肉眼无法看到。

每年,公众都会通过新闻媒体、违规披露法、勒索软件泄露网站和其他来源了解到数百起重大的组织违规事件。

这些只是问题的一小部分,因为无数其他入侵要么没报告,要么没披露。

俄罗斯和其他对手,以及勒索软件集团和网络犯罪分子,将继续利用这一模式,直到私营部门强调前端的安全性,使“补丁星期二”等事件成为时代错误。

简单地说,原因是不安全的技术产品,因为这些不安全产品造成的损害是随着时间的推移而分布和传播的,其影响更难衡量,但就像气球一样,它就在那里。

这是一个学区关闭,一个病人被迫转移到另一家医院,另一个病人被迫取消手术。一个家庭的储蓄被骗,一条天然气管道被关闭,一所有160年历史的大学因为勒索软件攻击而被迫关门,而这些都只是冰山一角。

我们呼吁建立一种新的模式,在这种模式下,社会将确保技术安全的责任交给大型制造商,或者“那些最有能力和最有能力这样做的制造商”。

这包括“彻底”透明的漏洞披露流程,以及围绕多因素身份验证和其他基本保护使用的内部统计数据,将软件开发转向内存安全编程语言,以及将基本安全功能(如日志记录、身份保护和访问控制)标准化为基本费率包,而不是作为更高价格级别的附加功能。

一些可能的立法选择,供国会考虑,包括禁止制造商在构建合同和服务条款时,对因使用其产品而产生的安全事故免除所有责任,为某些关键基础设施部门使用的软件制定更高的安全标准,并制定法律的框架,为那些确实采取了重大措施的公司提供免责的安全港安全开发和维护其产品的步骤。

在随后的一次问答中,赞成将那些受到资源丰富、经验丰富的民族国家攻击的公司排除在法律的责任之外,这些攻击只占每天袭击美国公民和企业的恶意网络活动的一小部分。

尽管谷歌和微软等公司的高管已经发表公开评论,支持通过设计实现安全的类似原则,并推出了一些举措,但他们最终会在多大程度上接受伊斯特利和拜登政府心目中的监管措施,还有待观察。

这些法案如果在未来两年继续实施,还必须通过共和党控制的众议院,这可不是一件小事。

尽管监管预计将是拜登政府网络战略的主要组成部分,但它是早期草案中描述的众多行动支柱之一,监管本身不会解决我们的集体问题。


其他途径,如利用政府的购买力在数十万承包商中推动更好的基线安全性,继续开展联合网络防御协作等合作项目,以及更广泛地采用内存安全语言和软件物料清单等更安全的软件开发实践,也可以对许多相同的问题产生重大影响。

尽管这一努力将是困难的,满足于现状将导致更多的痛苦,为美国消费者和企业的路线是在网络和物理领域。

想象一下这样一个世界:我们今天讨论的所有事情都没有发生,安全负担继续由消费者承担,技术制造商继续制造不安全的产品或将安全作为昂贵的附加功能进行追加销售,大学继续教授不安全的编码实践,我们每天依赖的服务仍然脆弱。

这正是一个我们的对手正在仔细观察并希望永远不会改变的世界。

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/382663.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

burp联动xray进行被动扫描

burp联动xray进行被动扫描0、简介1、打开burp,设置转发数据包,将burp抓到的数据包,额外转发到本机的7777端口2、出现这个代表配置成功3、接着在xray里输入这串代码,让xray进行监听本机的7777端口,进行被动扫描&#xf…

操作系统笔记、面试八股(二)—— 死锁

文章目录2. 死锁2.1 死锁的必要条件2.2 死锁预防2.3 死锁避免2.3.1 银行家算法2.4 死锁检测与死锁解除2.4.1 进程-资源分配图2.4.2 死锁检测的步骤2.4.3 死锁解除方法2. 死锁 2.1 死锁的必要条件 互斥 资源必须处于非共享模式,即因此只能有一个进程访问。如果有另一…

电脑崩溃蓝屏问题如何重装系统

电脑是我们日常生活和工作中必不可少的工具,但在使用过程中,难免会遇到各种问题,例如系统崩溃、蓝屏、病毒感染等,这些问题会严重影响我们的使用体验和工作效率。而小白一键重装系统可以帮助我们快速解决这些问题,本文…

精选博客系列|加速基于同态加密的隐私保护机器学习

随着机器学习在当今的企业和软件平台中的广泛使用,跨人工智能 (AI) 平台的隐私保护技术的解决方案也显得非常重要。虽然这个想法在今天看起来很明显,但人工智能研究社区历来更专注于打破数据孤岛的界限,并将数据从一个…

在线就能用的主图设计素材,免费分享!

如何给自己的店铺商品设计专属的节日活动主图?没有节日活动的主体素材要如何设计?下面小编就分享一个在线素材设计工具,打开乔拓云,平台里面不仅有许多能使用的电商设计素材,还有许多的设计工具和模板能帮助你快速的实…

macOS 13.3 Beta 2 (22E5230e)With OpenCore 0.8.9正式版 and winPE双引导分区原版镜像

原文地址:http://www.imacosx.cn/112340.html,转载需注明出处镜像特点完全由黑果魏叔官方制作,针对各种机型进行默认配置,让黑苹果安装不再困难。系统镜像设置为双引导分区,全面去除clover引导分区(如有需要…

海外服务器:为什么越来越多的人选择跨境托管?

在数字化时代,越来越多的企业和个人需要一个高效、稳定、安全的网络服务。而以独立服务器为主的海外服务器和跨境托管服务已成为满足这种需求的重要选择。在本文中,小编将探讨海外服务器和跨境托管的优势和发展趋势。一、什么是海外服务器和跨境托管?海…

如何使用GitBleed从Git库镜像中提取数据

关于GitBleed GitBleed是一款针对Git库镜像的安全检测工具,该工具包含了多个Shell脚本,可以帮助广大研究人员下载克隆的Git库和Git库镜像,然后从中提取各种数据,并分析两者之间的不同之处。 功能介绍 工具提供的脚本能够克隆指…

Django实践-02创建应用

文章目录Django实践-02创建应用Django介绍Django项目构建Django项目安装(前一篇已经装好):创建应用1. 创建app,执行下面的命令:2. 修改视图views.py3. 修改Django项目目录下的urls.py文件4.重新运行项目5. 基于模板完成…

深度包检测(DPI)详细介绍

以前不了解这个,一个应聘职位是这个方面的,就在网上收集这个资料,了解了这个方面的资料,其实,这个核心是自然语言识别。 目录 简介背景 流量识别 常用功能具体功能 做法特征识别架构举例部署方式 串接方式并接方式存…

Mac安装Redis后的配置

Mac安装Redis后的配置找到安装目录配置文件修改启动服务做测试连接找到安装目录 1.双击(右键)访达,点击前往文件夹进行查找,如下图所示 2.然后再如下图所示中找到如下路径: usr/local/bin3.找到redis.conf即redis的…

JAVA版B2B2C商城源码多商户入驻商城

三勾商城多商户是开发友好的微信小程序商城,框架支持SAAS,支持发布 iOS Android 公众号 H5 各种小程序(微信/支付宝/百度/头条/QQ/钉钉/淘宝)等多个平台,不可多得的二开神器, 为大中小企业提供极致的移…

hadoop的运行模式

作者简介&#xff1a;大家好我是小唐同学(๑>؂<๑&#xff09;&#xff0c;好久不见&#xff0c;为梦想而努力的小唐又回来了&#xff0c;让我们一起加油&#xff01;&#xff01;&#xff01; 个人主页&#xff1a;小唐同学(๑>؂<๑&#xff09;的博客主页 目前…

SWM181 外部中断(EXTI)功能使用

SWM181 外部中断&#xff08;EXTI&#xff09;功能使用&#x1f4cc;SDK固件包&#xff1a;https://www.synwit.cn/kuhanshu_amp_licheng/ &#x1f4d6;中断案例&#xff1a; &#x1f33c;开发板如下图&#xff1a; ✨注意新手谨慎选择作为入门单片机学习。 GPIO特性介…

代码随想录-49-111.二叉树的最小深度

目录前言题目1.层序迭代思路2. 本题思路分析&#xff1a;3. 算法实现4. pop函数的算法复杂度5. 算法坑点前言 在本科毕设结束后&#xff0c;我开始刷卡哥的“代码随想录”&#xff0c;每天一节。自己的总结笔记均会放在“算法刷题-代码随想录”该专栏下。 代码随想录此题链接 …

从功能测试进阶自动化测试涨薪10k,只用了1个月...

在开始正文前&#xff0c;先给大家一碗鸡汤&#xff1a;“你要坚信时间是不会辜负每一个努力付出的人&#xff0c;当你拥有一万次的训练和沉淀后&#xff0c;生活也会还你诗和远方。” 现在有很多人经常被“想要快速看到好的结果”的“快”思维裹挟着&#xff0c;稍微在短时间…

循环删除 List 中的元素

引用&#xff1a;https://mp.weixin.qq.com/s/j3k70kB3KPGO5ZKpOxJ4Pw 问题 比如有以下这个 List&#xff1a; public List<String> initList Arrays.asList("张三", "李四", "周一", "刘四", "李强", "李白&…

【微电网_储能】基于启发式状态机策略和线性程序策略优化方法的微电网中的储能研究【给定系统约束和定价的情况下】(Matlab代码实现)

&#x1f468;‍&#x1f393;个人主页&#xff1a;研学社的博客&#x1f4a5;&#x1f4a5;&#x1f49e;&#x1f49e;欢迎来到本博客❤️❤️&#x1f4a5;&#x1f4a5;&#x1f3c6;博主优势&#xff1a;&#x1f31e;&#x1f31e;&#x1f31e;博客内容尽量做到思维缜密…

Share Creators确认参展GDC 2023,致力于解决游戏开发者数字资产管理难题

全球游戏行业年度盛会“2023 游戏开发者大会”&#xff08;Game Developers Conference&#xff0c;简称 GDC&#xff09;&#xff0c;是全球规模最大的游戏开发者盛会&#xff0c;将于 2023 年 3 月 20 至 24 日于美国旧金山举行。自 1988 年首次举办以来&#xff0c;本届 GDC…

Linux网络基础

目录 一.计算机网络背景 二、认识协议 三.OSI七层模型 四.TCP/IP五层(或四层)模型 五.网络传输基本流程 六.数据包封装和分用 七.网络中的地址管理 一.计算机网络背景 网络本质是一个层状结构&#xff0c;同时也是操作系统的一部分 网络发展 独立模式: 计算机之间相互…