产品安全的这10个坏习惯你占了几条？

美国网络安全和基础设施安全局（CISA）与联邦调查局（FBI）当地时间10月16日共同发布了一份关于产品安全不良做法的联合指南，列举了极度危险的做法，并为软件制造商提供了构建安全设计的软件的建议。该指南旨在征求公众意见并提高软件制造商对网络安全的重视。这份指南的发布背景是，超过三分之一的政府AI应用案例涉及健康和人类服务部门，而软件的安全缺陷仍然是导致针对关键基础设施如医院、学校的严重攻击的主要原因。CISA和FBI希望通过这份指南，明确指出在软件开发中应避免的极其危险的做法，特别是对于那些生产用于关键基础设施或国家关键功能的软件的制造商。指南的意图是促进软件制造商采取更安全的编码实践，减少可预防的安全漏洞，并提高整个软件供应链的安全性。目前面向公众征求意见，征询期将于 2024年12月2日结束。

该指南列出了10条最危险的产品安全实践，分别归属于产品特性、安全特性以及组织流程和政策这三个大类。

一、产品特性方面

描述软件产品可观察的、与安全相关的质量。

1、内存不安全语言的开发（CWE-119及相关弱点）

在有现成的替代内存安全语言可供使用的情况下，使用内存不安全的语言（例如C或C++）开发用于关键基础设施或国家关键功能（NCF）的新产品线是危险的，并且会显著增加对国家安全、国家经济安全以及国家公共健康和安全的风险。

对于使用内存不安全语言编写的现有产品，如果在2026年1月1日之前未发布内存安全路线图，则非常危险，会大大增加国家安全、国家经济安全和国家公共卫生与安全的风险。内存安全路线图应概述制造商消除优先代码组件（例如面向网络的代码或处理加密操作等敏感功能的代码）中的内存安全漏洞的优先方法。制造商应证明内存安全路线图将显著、优先减少制造商产品中的内存安全漏洞，并证明他们正在做出合理的努力来遵循内存安全路线图。这不适用于宣布支持终止日期在2030年1月1日之前的产品。

2、在SQL查询字符串中包含用户提供的输入(CWE-89)

在用于关键基础设施或NCF服务的产品中，将用户提供的输入直接包含在SQL数据库查询字符串的原始内容中是危险的，并会显著增加国家安全、国家经济安全和国家公共健康和安全的风险。

3、将用户提供的输入纳入操作系统命令字符串(CWE-78)

在用于关键基础设施或NCF服务的产品中，将用户提供的输入直接包含在操作系统命令字符串的原始内容中是危险的，并会显著增加国家安全、国家经济安全和国家公共健康和安全的风险。

4、存在默认口令（CWE-1392和CWE-1393）

发布用于关键基础设施或NCF服务的产品时使用默认口令（CISA将默认口令定义为整个产品中默认存在的通用共享口令）是危险的，会显著增加国家安全、国家经济安全以及国家公共健康和安全的风险。

5、存在已知被利用的漏洞

如果发布用于关键基础设施或NCF的产品时，其组件中包含CISA已知可利用漏洞(KEV)目录中存在的可利用漏洞，则该产品非常危险，会大大增加国家安全、国家经济安全和国家公共卫生安全的风险。此外，如果CISA目录中发布了影响该产品的新KEV，如果产品中的KEV可利用，则未能及时免费向用户发布补丁，如果产品中的KEV不可利用，则未能公开记录漏洞的存在，这非常危险，会大大增加国家安全、国家经济安全和国家公共卫生安全的风险。

6、存在已知可利用漏洞的开源软件

发布用于关键基础设施或NCF的产品时，如果包含已知可利用漏洞的开源软件组件，则非常危险，会显著增加国家安全、国家经济安全以及国家公共健康和安全的风险。[3]此外，如果随后在所包含的开源组件中披露了可利用的漏洞，而未能及时向产品用户免费发布补丁或其他缓解措施，则非常危险，会显著增加国家安全、国家经济安全以及国家公共健康和安全的风险。

二、安全特性方面

描述产品支持的安全功能。

1、缺乏多因素身份验证

对于用于关键基础设施或NCF服务的产品，如果产品的基线版本不支持多因素身份验证(MFA)，则对用户进行身份验证是危险的，并会显著增加对国家安全、国家经济安全和国家公共健康和安全的风险。

此外，2026年1月1日之后未默认为管理员帐户启用MFA的产品非常危险，会大大增加国家安全、国家经济安全以及国家公共卫生和安全的风险。这不适用于宣布在2028年1月1日之前停止支持的产品。

2、缺乏收集入侵证据的能力

对于用于关键基础设施或NCF的产品，如果不向客户提供产品基线版本中足够的工件和功能来收集影响产品的常见入侵形式的证据，则是危险的，并会显著增加国家安全、国家经济安全和国家公共健康和安全的风险，这些证据至少包括：

配置改变或读取配置设置；
身份（例如登录和令牌创建）和网络流（如果适用）；以及
访问数据或创建业务相关数据。

三、组织流程和政策方面

描述软件制造商为确保其安全方法的高度透明度而采取的行动。

1、未能及时发布CVE和CWE

对于用于关键基础设施或NCF的产品，如果软件制造商未能及时发布至少所有严重或高影响漏洞（无论是内部发现还是第三方发现）的CVE，则非常危险，并且会显著增加国家安全、国家经济安全和国家公共卫生与安全的风险。此外，如果未在每个CVE记录中包含CWE字段，则非常危险，并且会显著增加国家安全、国家经济安全和国家公共卫生与安全的风险。

2、未能发布漏洞披露政策

对于用于关键基础设施或NCF的产品，没有包含该产品范围的已发布的漏洞披露政策(VDP)是危险的，并且会显著增加国家安全、国家经济安全和国家公共健康和安全的风险。

CISA主任Jen Easterly在指南的声明中强调：“现在是2024年，基本的、可预防的软件缺陷仍然会导致针对医院、学校和其他关键基础设施的严重攻击。这种情况必须停止。”这表明政府对于改善软件安全的态度是严肃且紧迫的。Orca Security的现场首席技术官Neil Carpenter也指出，许多软件提供商仍未能在其新产品中实施一些最基本的网络安全措施，这反映了当前软件安全实践中存在的普遍问题。应用安全公司Veracode的联合创始人Chris Wysopal认为，对于开发支持关键基础设施或国家关键功能的软件的公司来说，忽视这些指导方针是鲁莽的。这些评论揭示了软件安全领域的现状和挑战，同时也强调了提高软件安全性的迫切需求。

【闲话简评】

美国CISA和FBI发布的产品安全不良做法指南，对产品安全开发具有积极的借鉴意义。首先，它强调了软件供应链的透明度和安全性，这对于国内企业在全球化背景下保障产品安全至关重要。其次，指南中提到的内存不安全语言的使用、默认口令设置、以及对已知漏洞的忽视等问题，在国内软件产业中同样存在，需要引起足够重视。此外，该指南提出的组织流程和政策建议，可以为国内企业提供一个改进产品安全管理的参考框架。企业应借此机会审视和提升自身的软件开发标准，特别是在关键基础设施领域，以确保国家安全和公共利益不受威胁。

参考资源

1、https://www.govinfosecurity.com/cisa-unveils-exceptionally-risky-software-bad-practices-a-26556

2、https://www.cisa.gov/news-events/news/cisa-and-fbi-release-product-security-bad-practices-public-comment

3、https://www.cisa.gov/resources-tools/resources/product-security-bad-practices