美国政府称软件可衡量性是最难解决的问题

美国政府呼吁软件制造商发布“及时、完整和一致”的安全漏洞文档，以帮助改进衡量所生成代码的质量和安全性的工作。

白宫国家网络主任办公室 (ONCD) 的一份新技术报告表示，漏洞文档的透明度应包括常见漏洞和暴露 (CVE) 数据和常见弱点枚举 (CWE)，以帮助开发经验指标以有效衡量代码。

白宫表示：“为了在保护数字生态系统方面取得进展，有必要重新调整激励措施以支持长期投资。为了使这种调整产生整个生态系统的行为变化，制定衡量软件网络安全质量的经验指标至关重要。”

美国政府认为，“正在进行的工作旨在改善对软件质量和安全性的理解，包括协调一致的漏洞披露、响应计划和及时的 CVE 记录，为整个生态系统的重要决策提供信息”，并指出软件可衡量性“是最难开放的问题之一”。研究要解决的问题。”

ONCD 报告警告说，解决这个问题不仅需要完善现有的指标或工具，还需要开拓软件工程和网络安全研究的新领域。 

该机构补充道：“通过提高衡量和评估软件安全性的能力，可以在软件发布之前预测并减少更多漏洞。根据这些测量得出的指标也将为广泛的利益相关者的决策提供信息。”

ONCD 报告指出，通过分析软件来评估其网络安全质量受到量化的限制，并警告称，计算已知漏洞等传统方法“是不够的，而且不一定能洞察未来的威胁或攻击向量。”

白宫还利用该报告来支持全行业推动转向内存安全编程语言，以大规模减少漏洞并提高整个生态系统的网络安全质量。 

白宫表示：“这些方法将是一项雄心勃勃的事业，需要在未来几年持续、多部门关注。必须努力主动消除整个类别的软件漏洞。”

“软件和硬件制造商可以采取的最有影响力的行动之一是采用内存安全编程语言。它们提供了一种消除（而不仅仅是减轻）整个错误类别的方法。对于技术社区来说，这是一个改善整个数字生态系统网络安全的绝佳机会。”