设计安全作为美国在网络安全领域的一项要求即将到来。开发人员现在应该开始为此做好准备。

2023 年 3 月的美国国家网络安全战略(NCS) 包括：“在为关键基础设施制定网络安全法规时，鼓励监管机构推动采用安全设计原则……”

这有两个重要因素。引入了设计安全的概念，但没有定义；这意味着这一未定义的概念将通过尚未制定的法规在关键基础设施上强制执行。这一点有点模糊，但却是不容忽视的。

2023年2月底，美国CISA 主任 Jen Easterly 表示，联邦采购权将用于鼓励安全设计。2023年4月，CISA 发布了一套实现“设计安全”的原则。2023年9月，CISA宣布已聘请Pieter (Mudge) Zatko“帮助我们共同塑造一种设计安全文化，这是每个安全团队的基础……”

设计安全对于联邦政府来说显然很重要，并且它很可能成为通过行政命令强制执行的关键行业的监管要求。但是设计安全意味着什么？如何衡量它的执行情况？

2023年8月，Lawfare 宣布了一个新项目，寻求提供答案——具体来说，如何定义它，如何衡量它，如何将其转化为法规，以及应如何执行这些法规？来看看美国有关人士对此看法！

设计安全——缺乏规范

所有产品开发人员都将他们的产品描述为安全设计。然而，不同供应商之间这种说法的理由有所不同。

微软安全部门的凯利·比塞尔

微软安全首席副总裁 Kelly Bissell 评论道：“我们的安全设计方法是在开发过程的所有阶段（从构思到支持以及开发环境工具和流程中的 SbD）实施安全和隐私考虑——无论产品是什么。这一原则可以追溯到 2002 年的可信计算计划。”

这可能是真的。但是，尽管比尔·盖茨 (Bill Gates) 2002 年的内部备忘录指出，“我们的响应能力是无与伦比的，但作为行业领导者，我们可以而且必须做得更好”，这可能导致了可信计算 (TwC) 部门和 Microsoft 安全开发生命周期的发展（2008 年发布），它没有用通用术语定义“设计安全”。TwC 实际上于 2014 年作为一个单位解散了。

StackHawk 联合创始人兼 CSO Scott Gerlach 同样将设计安全描述为一个过程，但没有定义该过程中包含的步骤。“安全设计让产品团队承担责任，以确保从产品启动到交付，安全不是事后才想到的，任何旨在实现‘设计安全’的方案都必须优先考虑安全性，其重要性与所需功能的重要性相同。”

思科还将其流程描述为设计安全性的证明。“多年来，思科已经建立了成熟的安全设计计划，”思科信任官 Matt Fussa 表示。“思科继续通过以 SBOM、SSDF 和漏洞信息交换 (VEX) 为中心的实质性软件透明度计划来构建该计划，将构建环境安全性提升至 Salsa (SLSA) 3 级。”

Secure Code Warrior 联合创始人兼首席执行官 Pieter Danhieux 从相反的方向延续了同样的主题：“我倾向于用简单的术语来思考安全设计的定义，如果从产品或软件构建之初就没有将安全性作为优先事项，那么相关产品很可能不会考虑到安全性。”

ThreatModeler 的首席技术官 John Steven 总结了当前的情况。“‘设计安全’已被供应商淡化，他们将其中的一部分作为对感知差异化的描述。但没有供应商可以拥有‘设计安全’，这是一种在组织的软件交付文化中利用多种工具和技术的能力。”

John Steven，ThreatModeler 首席技术官

实际上，安全设计目前只是一个标签，上面写着：“我们的产品是安全设计的，因为我们认为我们的专有流程证明我们这样说是合理的。” 这对卖方有利，但对买方不利，而且对于 NCS 通过关键行业法规推动安全设计的意图毫无意义。无法规范未指定且无法衡量的内容。

指定安全设计

设计安全的定义可能在于个体开发人员当前采用的方法的普遍适用的标准化：流程。这需要一个适用于所有产品开发的正式流程。对于硬件来说，这将是一项比软件更困难的艰巨任务，但也是可能的。这可能是CISA已经选择的路径。

LowRISC 首席执行官 Gavin Ferris 评论道：“当前最相关的安全设计定义可以在 CISA 与 FBI、NSA 和澳大利亚网络安全当局联合制定的今年 4 月发布的指导文件中找到。、加拿大、英国、德国、荷兰和新西兰。”

该定义指出，“‘设计安全’意味着技术产品的构建方式能够合理地防止恶意网络行为者成功访问设备、数据和连接的基础设施。软件制造商应进行风险评估，以识别和列举关键系统普遍存在的网络威胁，然后将保护措施纳入产品蓝图中，以应对不断变化的网络威胁形势。”

就其本身而言，这仍然是意图的描述，而不是可执行的通用过程。然而，该文件更进一步，提供了一套供所有开发人员使用的原则：“说明性路线图最佳实践的非详尽列表”。设计安全规范要求将其扩展为“所需路线图最佳实践的完整列表”。

这需要时间并且可能仍然无法执行。然而，值得注意的是，CISA 并未将安全设计限制于软件，而是包含了安全设计硬件的概念——建议访问剑桥大学的 CHERI 网页。CHERI（能力硬件增强型 RISC 指令）是一个联合研究项目，“重新审视硬件和软件的基本设计选择，以显着提高系统安全性”。

剑桥还是由 LowRISC 指导的OpenTitan硅基信任根 (S-RoT) 项目的所在地。LowRISC 的 OpenTitan 项目总监 Dom Rizzo 评论道：“设计安全的系统需要以硬件信任根（例如 OpenTitan）为基础，否则在软件级别所做的值得称赞的工作可能会被撤销。例如，SBOM 是一个很好的主意，但在没有硅 RoT 的情况下，什么最终保证 SBOM 中的内容就是您系统上实际运行的内容？或者类似地，如果您的计算机在操作系统级别以下受到攻击（Microsoft 报告称 83% 的企业都受到过此类攻击），则硬件 RoT 对于检测这种情况并确保可以安全地恢复原始固件至关重要。”

如果 NCS 的目的是将安全负担更多地放在产品提供商身上而不是产品用户身上，并且设计安全旨在使这一点成为可能，那么必须将设计安全硬件添加到组合中。如果软件运行在不安全的硬件上，那么您就不可能拥有安全的软件。但硬件的普遍可执行和可衡量的流程比软件的流程要复杂得多。

理想的解决方案是开发标准流程——一种设计安全的规范——最终可以为产品开发人员提供一本手册。CISA 有一个软件起点：NIST SSDF。史蒂文说：“目前，组织能做的最好的事情很大程度上取决于流程或基于活动的指标，NIST SSDF (800-218) 提供了指南。组织评估 SSDF 的设计和缺陷发现领域有多少活动。”

CISA 对此表示同意。“安全软件开发框架 (SSDF)，也称为美国国家标准与技术研究所 (NIST) SP 800-218，是一组核心的高级安全软件开发实践，可以集成到软件开发的每个阶段生命周期（SDLC），”其四月份的文件中写道：“遵循这些做法可以帮助软件生产商更有效地发现和消除已发布软件中的漏洞，减轻漏洞利用的潜在影响，并解决漏洞的根本原因，以防止未来再次发生。”

然而，我们应该记住，NCS 推动设计安全的目的是“将责任转移给那些未能采取合理预防措施来保护其软件的实体，利用联邦采购来改善问责制”。该战略还强调监管概念。

NCS 主要与软件有关，尽管它也提到了对安全物联网设备的需求。更普遍的是，由于在不安全的硬件上运行的安全软件毫无用处，因此硬件可能会被纳入其中。

但这还只是开始。如果我们假设最终可以指定设计安全，那么设计安全产品的采购将取决于设计安全流程的可见证据。这最好通过可强制执行的设计安全规范来实现。