| | 网站声明 | 注册
邮箱: js_wto@163.com
电话: 025-86500544
新闻资讯 > 国外新闻

美国网络安全和基础设施安全局与联邦调查局联合发布《产品安全不良实践(第 2 版)》

发布日期: 2025-02-14 来源:tbtguide 字号: [ ]

收藏

20251月,美国网络安全和基础设施安全局(CISA)与联邦调查局(FBI)联合发布《产品安全不良实践(第 2 版)》,为软件制造商提供指导,以降低关键基础设施或国家关键功能相关软件产品的安全风险。

软件制造商应在软件开发全过程将安全作为核心考量。此指导针对开发各类软件产品和服务的制造商,虽不具法律约束力,但建议避免不良实践。不良实践分为产品属性、安全功能、组织流程和政策三类。

1、产品属性相关不良实践及建议措施

内存不安全语言使用问题:用内存不安全语言(如 CC++)开发关键基础设施或 NCF 新产品线,或现有此类产品无内存安全路线图,会增加国家安全等风险。建议用内存安全语言开发新产品,现有产品制造商 2025 年底前发布路线图,逐步消除内存安全漏洞。

SQL 注入漏洞问题:关键基础设施或 NCF 产品将用户输入直接用于 SQL 数据库查询字符串会带来风险。制造商应通过参数化查询等方式防止该漏洞。

命令注入漏洞问题:在关键基础设施或 NCF 产品中直接将用户输入用于操作系统命令字符串有风险。制造商应确保命令输入与命令内容分离等方式预防。

默认密码问题:关键基础设施或 NCF 产品含默认密码不安全。制造商可提供随机初始密码等多种方式确保无默认密码。

已知被利用漏洞(KEV)问题:产品发布时含 CISA KEV 目录中的漏洞,或新 KEV 出现后未及时处理,会增加风险。制造商应在发布前修复组件漏洞,新 KEV 发布后及时免费打补丁或说明情况。

开源软件组件漏洞问题:关键基础设施或 NCF 产品含开源软件组件且有严重漏洞,若不及时处理会有风险。制造商应合理评估和保障开源软件依赖,如维护软件物料清单等。

加密算法问题:关键基础设施或 NCF 产品使用不安全或过时加密算法或不加密敏感信息有风险。应使用现代加密算法并遵循 NIST 指南。

硬编码凭证问题:产品源代码中存在硬编码凭证或密钥不安全。制造商应使用密钥管理器并在开发过程中扫描。

2、安全功能相关不良实践及建议措施

多因素认证(MFA)问题:关键基础设施或 NCF 产品基线版本不支持 MFA(含防钓鱼 MFA)或管理员账户默认未启用 MFA 有风险。制造商应支持 MFA,并对管理员要求启用,OT 产品视情况而定。

入侵证据获取问题:关键基础设施或 NCF 产品基线版本未提供足够的当前和历史数据以收集常见入侵证据有风险。制造商应提供相关日志,云服务和 SaaS 产品应留存一定时间并免费提供给客户。

3、组织流程和政策相关不良实践及建议措施

CVE 发布问题:软件制造商未及时发布关键或高影响漏洞的 CVE CVE 记录中不含 CWE 字段有风险。应及时发布完整 CVE 并包含 CWE 字段。

漏洞披露政策(VDP)问题:未发布含产品范围的 VDP 有风险。制造商应发布 VDP,授权公众测试,承诺不追究善意测试者,提供报告渠道并按标准披露漏洞,及时修复报告的漏洞。

产品支持周期问题:对于本地部署产品,制造商未明确产品支持周期有风险。应在销售时说明并在支持期内提供安全更新。


相关新闻

相关通报

相关标准

    江苏省技术性贸易措施信息平台

    版权所有: 江苏省质量和标准化研究院 网站的备案号: 苏ICP备09017254号