【国际视野】美国网络安全和基础设施安全局发布《产品安全不良实践》

“

天极按

近日，网络安全和基础设施安全局（CISA）发布了《联合网络防御协作组织人工智能网络安全协作手册》（Joint Cyber Defense Collaborative (JCDC) Artificial Intelligence (AI) Cybersecurity Collaboration Playbook）。该手册是通过 JCDC 与联邦、国际和私营部门合作伙伴共同开发的，它为人工智能社区（包括人工智能提供商、开发商和采用者）提供了关于如何自愿共享可操作事件信息的基本指导，并介绍了主动共享信息如何能够加强操作协作和提高人工智能系统的复原力。

网络安全和基础设施安全局（CISA）通过联合网络防御协作组织（JCDC）与联邦、国际和私营部门的合作伙伴合作，牵头制定了人工智能（AI）网络安全协作手册。JCDC 是 CISA 内部的一个公私协作组织，利用国会在 2021 年《国防授权法案》（NDAA）中授予的权力，联合全球网络社区共同防御网络空间。JCDC 人工智能网络安全合作手册是 2024 年举行的两次桌面演习 (TTX) 的直接成果，这两次演习汇集了联邦、行业和国际合作伙伴。第一次桌面演习于 2024 年 6 月在弗吉尼亚州雷斯顿的微软公司举行，通过应对人工智能（AI）网络安全事件带来的独特挑战奠定了基础。这项基础性工作为操作手册的早期开发提供了参考。第二次TTX 于 2024 年 9 月在加利福尼亚州旧金山的 Scale AI 总部举行，通过模拟金融服务领域的人工智能网络安全事件，帮助参与者进一步完善操作手册。CISA 将大约 150 名参与者（包括来自美国联邦机构、私营部门和国际政府组织的代表）的实时反馈纳入了游戏手册。这些演习强调了加强业务协作和信息共享的必要性，最终形成了操作手册的最终版本。

受众

本手册向网络安全操作专业人员（包括事件响应人员、安全分析师和其他技术人员）介绍如何与 CISA 和 JCDC 合作并共享有关人工智能相关网络安全事件和漏洞的信息。

背景介绍

CISA 作为美国的网络防御机构和关键基础设施安全与恢复能力国家协调员，在应对人工智能特定网络安全挑战方面发挥着至关重要的作用。通过 JCDC.AI，CISA 建立了公私合作伙伴关系，以改善信息共享并制定计划，促进协调应对针对软件系统（包括人工智能系统）的网络威胁。随着人工智能越来越多地融入关键基础设施，了解并应对其独特的挑战和复杂性，对于加强对恶意网络行为者的防御至关重要。

人工智能系统依赖于数据驱动的非确定性模型，因此具有独特的复杂性，容易受到恶意网络活动的攻击，如模型中毒、数据篡改和对抗性输入。CISA 与 JCDC 合作伙伴合作，利用共享的知识和能力来对抗恶意网络行为者并加强集体应变能力。

目的

JCDC 人工智能网络安全合作手册促进人工智能社区（包括人工智能提供商、开发商和采用者）自愿共享信息，以加强集体网络防御，应对新兴威胁。该手册旨在促进政府、行业和国际合作伙伴之间的业务合作，并将定期更新，以确保随着人工智能应用的加速，能够适应动态的威胁环境。该手册旨在：

指导 JCDC 合作伙伴如何自愿共享与人工智能系统相关的事件和漏洞信息。
概述 CISA 在收到共享信息后应采取的行动。
促进联邦机构、私营企业、国际合作伙伴和其他利益相关者之间的合作，以提高对人工智能网络安全风险的认识，并提高人工智能系统的复原力。

虽然该手册侧重于加强联合反恐委员会内部的合作，但也定义了适用于其他信息共享机制的关键信息类别（附录 C），如信息共享和分析中心（ISAC）。CISA 鼓励各组织采用该操作手册的指导意见来加强自身的信息共享实践，从而有助于采用统一的方法来应对关键基础设施中与人工智能相关的威胁。

关键定义

JCDC 人工智能网络安全协作手册纳入了关键立法和技术框架中的定义，为应对人工智能网络安全挑战奠定了基础。

人工智能系统：基于机器的系统，针对人类定义的特定目标，做出影响真实或虚拟环境的预测、建议或决策。这些人工智能系统使用基于机器和人类的输入来感知环境，通过自动分析将这些感知抽象为模型，并使用模型推理来提供信息或行动选项。
事件： “事件 “一词是指未经合法授权而实际或即将危及信息系统信息的完整性、保密性或可用性，或未经合法授权而实际或即将危及信息系统的事件。

根据这些定义，CISA 制定了人工智能网络安全事件的工作定义：“未经合法授权，实际或即将危及人工智能系统、人工智能系统启用和/或创建的任何其他系统或存储在任何这些系统上的信息的保密性、完整性或可用性的事件"。

网络安全事件通常源于软件或系统中的漏洞。美国国家标准与技术研究院（NIST）将漏洞定义为 “信息系统、系统安全程序、内部控制或实施中可能被威胁源利用或触发的弱点”，是人工智能系统网络安全的核心。该手册还有助于协调披露关键基础设施中与人工智能系统相关的漏洞。

信息共享：保护与机制

通过 JCDC 共享信息，公司可从加强协调和政府支持中获益，并获得在可信环境中就人工智能网络安全问题进行合作的能力。JCDC 为关键基础设施部门的重要网络安全问题提供了沟通机制，使企业能够讨论和应对人工智能网络安全方面的共同挑战。JCDC 的召集能力可帮助企业获得有价值的威胁情报、缓解策略和协作性网络安全环境。

通过共享信息，JCDC 加快了对网络威胁的协调响应，并帮助政府合作伙伴收集必要信息，以确定是否应启动国家事件响应机制。此外，JCDC 还制作和分发相关的网络威胁情报、漏洞管理见解和缓解策略，使公司能够更好地管理和消除新出现的威胁。

信息共享保护

《网络安全信息共享法案（2015）》（CISA 2015）为非联邦实体提供了保护，使其可以按照特定要求与政府共享网络威胁指标和网络安全防御措施，并规定尽管有任何其他法律，它们也可以这样做。这些保护措施包括不放弃特权、保护专有信息、免于根据《信息自由法》（FOIA）进行披露、禁止在监管执法中使用等。《网络安全信息共享法案（2015）》还要求国土安全部具备与联邦政府和私营部门实体共享网络威胁指标的能力和流程，并为通过该流程共享的信息提供责任保护。该法规还为按照法定要求与州、地方、部落和领地 (SLTT) 实体共享的网络威胁指标和防御措施制定了保护措施，包括根据 SLTT 信息自由法，这些信息免于披露。《网络安全信息共享法案（2015）》不涵盖法律规定的非网络威胁指标或防御措施的共享信息。与人工智能相关的信息只要符合网络威胁指标或防御措施的条件，就属于该法的管辖范围。

信息共享机制

CISA 制定了管理和保护 JCDC 合作伙伴共享数据的流程。

JCDC 内部的信息共享

CISA 利用交通灯协议 (TLP) 作为其主要的传播控制标记系统。JCDC 内部通过电子邮件共享的所有数据均应明确标注相关的 TLP 名称。同样，其他利益相关者也可通过电子邮件与 JCDC 共享信息，CISA.JCDC@cisa.dhs.gov，并遵循 TLP 标记系统。某些 TLP 标记要求在向组织外传播前获得信息来源的许可。所有组织都应在分享前寻求适当的许可。下文 “主动信息共享 ”和 “关于事件或漏洞的信息共享 ”部分提供了有关与 JCDC 共享的有价值信息类型的更多指导。

有时，JCDC 合作伙伴可能希望在不注明出处的情况下共享信息。在这种情况下，这些合作伙伴可直接与 CISA 共享，由 CISA 在不注明出处的情况下继续共享。合作伙伴在与 CISA 共享信息时，应提供有关如何处理其信息的详细说明，并指定信息使用的任何限制（如清单 1 所述）。有了这些保障措施和协议，CISA 可在 JCDC 内部营造一个共享关键网络安全信息的安全环境，鼓励积极参与并保护敏感数据。附录 A 提供了表 1 的填充示例。

表 1：信息处理限制与背景

新漏洞协调实践

要报告新发现的产品和服务中的网络安全漏洞，JCDC 合作伙伴应使用 CISA 的协调漏洞披露流程。合作伙伴可通过 CISA 协调漏洞披露页面上的 “报告漏洞 ”链接安全地提交漏洞。如果 JCDC 合作伙伴对此流程有疑问或担忧，请联系 JCDC 代表。该代表可将合作伙伴与 CISA 漏洞管理人员联系起来。

其他需要考虑的漏洞协调最佳实践：

制定并实施漏洞披露政策 (VDP)，以便安全研究人员和其他人员了解哪些类型的测试可用于哪些系统，以及向何处发送漏洞报告。有关 CISA 与联邦机构共享的 VDP 示例，请参阅 Binding Operational Directive 20-01。联合数据中心合作伙伴应酌情修改 VDP 模板。
如果在 JCDC 合作伙伴运营的系统中发现漏洞，各实体应按照该合作伙伴的 VDP，根据其特定指南报告问题。
如果 JCDC 合作伙伴发现已部署的联邦政府系统中存在漏洞，则应按照其 VDP 中的要求通知系统所有者。作为最后手段，可通过卡内基梅隆大学软件工程研究所 (SEI) CERT 协调中心向 CISA 报告这些问题。

事件报告

要报告事件，JCDC 合作伙伴应使用 CISA 的自愿网络事件报告门户。报告实体应在表格中提供的解释性文本框中描述事件中与人工智能相关的任何方面。

主动共享信息

JCDC 强烈鼓励合作伙伴尽早主动共享人工智能网络安全事件或漏洞的可操作信息。鉴于人工智能系统的复杂性以及在识别安全问题及其根源方面的挑战，JCDC 合作伙伴应持续、主动地共享有关恶意活动、趋势、发布前出版物和评估的关键信息。持续的信息共享可使所有合作伙伴保持对不断变化的环境的态势感知，从而实现对关键威胁的早期检测、识别和修复。通过建立一个信息灵通、相互协作的网络防御网络，JCDC 加强了对所有关键基础设施部门的人工智能系统的保护和恢复能力。

表 1 所列的主动信息共享类别有助于 CISA 和 JCDC 合作伙伴评估已观察到的相关信息，了解行动环境的复杂性，并就潜在的防御行动做出明智决策。另请参阅附录 B，了解鼓励合作伙伴主动共享信息的事件示例。

表 1：主动信息类别

共享有关事件或漏洞的信息

JCDC 合作伙伴应表2，自愿共享有关人工智能网络安全事件或漏洞的信息。其他利益相关方可通过电子邮件与 JCDC 共享自愿信息，电子邮件地址为 [email protected]。该核对表有助于突出可操作的数据，以简化 JCDC 与合作伙伴之间的共享流程。附录 A 提供了表2 的填充示例。 JCDC 鼓励合作伙伴遵循核对表，同时也欢迎共享任何相关信息，即使未满足核对表的所有要点。

此外，使用网络表格自愿报告事件或产品或服务中的漏洞是通过加密渠道向 CISA 提供所有相关信息的好方法。如果使用网络表格，JCDC 合作伙伴应通过电子邮件通知 JCDC 代表。

表 2：主动信息共享

CISA 的信息分析和业务使用

图 1：CISA集体行动方法

作为从 JCDC合作伙伴收集信息的中心枢纽，CISA管理和协调所需的集体行动（见图1）。当 CISA收到有关网络安全事件或漏洞（包括人工智能特有的事件或漏洞）的信息时，它首先会将信息输入中央跟踪平台进行汇总和验证。在此阶段，CISA会删除任何可能不构成威胁的合法或良性指标，并确保从数据集中删除任何可识别受害者身份的信息，以保护隐私。

接下来，CISA继续分析和丰富数据。这包括确认指标是否与特定合作伙伴（如云服务提供商或互联网服务提供商）相关，以酌情促进协调。可利用CISA 现有数据进一步丰富信息。CISA会进行额外的分析，通过透视相关信息来获取更多见解。

然后，CISA可考虑进行内部和外部协调，根据共享的信息采取适当的防御行动。收集、匿名和丰富的指标可输入入侵检测系统，以保护联邦文职行政部门（FCEB）机构、州、地方、部落和领土（SLTT）实体以及关键基础设施资产。在某些情况下，可为联邦文职行政机构实施域块，以应对威胁。

如其 TLP级别所示，信息还可与行业、美国联邦政府、SLTT和国际合作伙伴共享，以支持网络防御目的。在共享信息的过程中，JCDC合作伙伴可能会获得并进一步分享更多的见解，从而在所有相关合作伙伴之间形成多向信息流。这种丰富的信息流可促成分析交流、公共网络安全咨询（与JCDC 合作伙伴协调）以及更广泛的跨部门合作，共同应对网络威胁。

加强协作

图 3：CISA信息共享与协作流程

加强协调涉及在常规操作无法完全解决或理解网络安全问题时加强信息共享和扩大合作。在这种情况下，CISA和 JCDC合作伙伴可选择实施额外机制并增加沟通频率，以改进事件响应和补救工作。这些活动都是自愿的，并根据情况按需启动。

CISA 对合作伙伴共享的信息进行评估，决定采取何种行动，并根据情况的变化调整加强协调的程度。CISA在很大程度上依赖于与JCDC 合作伙伴的合作，以评估哪些事件值得进一步分析并确定加强协调的优先次序。附录B 中详述的PyTorch 依赖链受损事件就是一个需要加强协调的活动实例。

信息共享有助于 CISA采取各种有针对性的行动来加强网络安全。这些行动可以单独执行，也可以合并执行，具体取决于已识别威胁或漏洞的性质。这一过程本身是动态的，涉及多个利益相关者之间的合作，通常是同时进行的。CISA采用灵活、综合的方法，根据不断变化的威胁情况调整应对措施，包括但不限于：

为检测和预防目的共享信息：在美国政府机构、私营部门、SLTT、关键基础设施和国际合作伙伴之间传播关键威胁情报，以加强集体网络安全工作。
揭露并瓦解对手的战术和基础设施：通过公共网络安全咨询、TLP：CLEAR 或 TLP：GREEN 报告或小组共享，揭露并潜在地降低对手使用的战术、技术和基础设施所带来的风险。
协调应对恶意基础设施的战略：与相关合作伙伴合作，识别网络攻击中使用的由对手控制的基础设施，并制定有效的缓解策略。
识别并通知受害实体：识别受网络事件影响或可能受网络事件影响的组织，并及时发出警报，以便迅速采取保护措施。
共享检测能力：为 JCDC 合作伙伴提供策略，以提高其识别和缓解自身网络中的网络威胁的能力。
制作和分发相关的威胁情报产品：创建可操作的产品，如威胁咨询和情报报告，其中包括分析、缓解建议和当前威胁状况的更新。
提供主动服务和参与：主动与合作伙伴接触，提供量身定制的建议、漏洞管理策略和最佳实践，以便在事件发生前加强防御。
通过响应式参与评估不断变化的威胁：促进实时响应参与，如电话和协调会议，以帮助合作伙伴更好地了解威胁环境，并确定适当的下一步措施。这有助于确保合作伙伴了解预期的行动以及如何有效应对。

作为加强协调的一部分，JCDC与联邦政府合作伙伴密切合作，对重大人工智能网络安全问题做出统一回应。通过这种合作，联邦政府的能力得到了统一，确保在应对重大威胁或漏洞时考虑到所有可用资源和专业知识。与联邦政府合作伙伴协调有助于确保CISA 和 JCDC采取的行动与更广泛的政府工作相辅相成，从而加强事件响应和补救战略的整体有效性。

行动呼吁

JCDC人工智能网络安全合作手册为人工智能社区（包括人工智能提供商、开发商和采用者）自愿共享信息提供了重要指导，以加强集体防御，应对不断变化的网络威胁。随着人工智能应用的加速，人工智能系统的威胁范围不断扩大，带来了新的漏洞和安全挑战。本手册将定期更新，通过政府、行业和国际合作伙伴之间的积极合作来应对这些挑战。

JCDC 合作伙伴应将该手册纳入其事件响应和信息共享流程，根据需要进行迭代改进，并提供反馈。请参阅 “问题与反馈 ”部分的说明。通过持续的合作和实际应用，这种持续的投入可加强和调整该手册。

为加强合作与参与，JCDC邀请人工智能安全专家和利益相关者考虑采取以下行动：

标记技术交流机会： JCDC 合作伙伴应确定并分享与影响人工智能界的新兴威胁、对手或漏洞相关的技术交流机会。这些交流可提供重要的见解，使 JCDC 和 CISA 能够积极应对共同的风险。
确定人工智能界的优先问题：突出关键问题和风险有助于确保 JCDC 的优先事项与人工智能界确定的最紧迫挑战保持一致。这种一致性有助于更有针对性、更有效地满足关键的人工智能安全需求。
促进事后分析和知识共享：在社区内开发和共享事后分析、案例研究和教育内容，可促进积极主动地应对人工智能安全挑战。分享经验教训可加强集体应变能力，提高应对未来事件的准备程度。
成为 JCDC 合作伙伴：加入由来自全球各组织的网络防御者组成的多元化团队，该团队致力于主动收集、分析和共享可操作的网络风险信息，以实现同步的网络安全规划、网络防御和响应。要了解有关 JCDC 的更多信息，请访问 CISA 的 JCDC 网页并发送电子邮件至 [email protected]。

通过人工智能社区的积极参与，该手册将成为应对未来人工智能安全形势的动态资源。随着关键基础设施所有者和运营商越来越多地使用人工智能工具，业务合作在加强网络安全和推进人工智能技术的安全应用方面发挥着至关重要的作用。

附录A：信息处理限制和自愿信息共享核对表填充示例

以下是基于 2023年 1 月提交给MITRE ATLAS 的真实案例研究 “通过提示注入在 MathGPT 中执行代码 ”的自愿信息共享核对表填写示例。该事件涉及一名行为者利用提示注入漏洞访问应用程序主机系统的环境变量和GPT-3 API 密钥。利用这一访问权限，该行为者对MathGPT 执行了拒绝服务（DoS）攻击，MathGPT是一个采用 GPT-3语言模型回答用户生成的数学问题的公共应用程序。该攻击还可能耗尽应用程序的API 查询预算或完全中断其运行。

尽管 MathGPT团队后来已经缓解了此次事件中发现的漏洞，但本案例研究仍被用于填充自愿信息共享清单。本示例以MathGPT 开发人员在检测到攻击后不久对攻击做出响应的视角编写，就像事件仍在活动一样。

附录B：主动共享信息和加强协调的案例研究

主动信息共享实例：Clearview 人工智能配置错误案例研究

为了说明现实世界中的威胁行为者在日常操作中可能会使用哪些方法来利用人工智能系统，以及这些技术与传统的网络入侵有何不同，我们研究了MITRE ATLAS 关于Clearview AI 配置错误的案例研究。

Clearview AI 开发了一种面部识别工具，可在公开照片数据库（如Facebook、谷歌和YouTube）中搜索匹配的照片。该工具已被执法机构和其他实体用于调查目的。

然而，Clearview AI 的源代码库虽然有密码保护，但配置不当，允许任意用户创建账户。这一漏洞使外部研究人员能够访问包含Clearview AI 生产凭证、云存储桶密钥（包含70K 视频样本）、应用程序副本和Slack 标记的私有代码库。

通过访问这些训练数据和凭证，恶意行为者可以破坏未来的应用程序版本，导致部署模型中的面部识别功能降低或被恶意破坏。这一案例突出表明，需要以超越传统网络安全措施的方式确保人工智能系统的安全。此类系统不仅需要稳健的卫生措施，如强制执行最小权限访问、多因素身份验证以及严格的监控和审计，还需要针对人工智能技术带来的独特风险量身定制特定的保障措施。

在本案例中，安全研究人员通过对抗性方法展示了Clearview AI 系统中的漏洞，详情如下：

策略：资源开发
o技巧：建立账户
一名安全研究人员通过错误配置的服务器设置初步访问了Clearview AI 的私有代码库，该设置允许任意用户注册有效账户。
战术：收集
o技术：从信息库获取数据
私人代码库包含用于访问AWS S3 云存储桶的凭据，从而发现了面部识别工具的资产，包括
o已发布的桌面和移动应用程序。
o具有新功能的预发布应用程序。
o Slack 访问令牌。
o原始视频和其他数据
策略：资源开发
o技术：获取公共 ML人工制品
对手可以下载训练数据，并从源代码和反编译应用程序二进制文件中收集有关软件、模型和功能的详细信息。
战术：影响
o技术：侵蚀 ML模型完整性
由于访问了这些信息，敌方可能通过降低或恶意操纵面部识别能力来破坏未来发布的应用程序。

增强协作示例：受损的PyTorch 依赖链

为了说明在非例行或临时信息共享不足的情况下，增强协调情景下可能发生的过程，我们研究了MITRE ATLAS 的另一个案例研究：“PyTorch依赖链受损”。

在此案例中，一伙身份不明的恶意行为者通过破坏与PyTorch 预发布版本相关的Linux 软件包，实施了一次供应链攻击。15他们将恶意二进制文件上传到代码库，该二进制文件与合法的PyTorch 依赖程序同名。结果，PyPI软件包管理器（pip）无意中安装了恶意软件包，而不是正版软件包。这种被称为 “依赖关系混淆 ”的技术暴露了使用受影响的 pip安装版本软件包的 Linux机器上的敏感信息。

攻击通过以下步骤展开，详情如下：

战术：初始访问
o 技术： ML供应链破坏 - ML 软件
一个名为 torchtriton的恶意依赖包被上传到PyPI 代码库，其软件包名称与以PyTorch-nightly命名的软件包相同。行为者利用系统中现有的优先级规则，诱骗用户下载恶意软件包，而不是合法软件包。恶意软件包包含附加代码，可上传从安装该软件包的机器上获取的敏感数据。
战术：收集
o技术：从本地系统获取数据
恶意软件包调查受影响系统，以获取IP 地址和用户名等基本指纹信息以及其他敏感数据。
战术：渗透
o技术：通过网络手段渗透
所有收集到的信息（包括文件内容）都通过加密域名系统查询上传到外部网域。

MITRE ATLAS 网站上有一份完整的TTPs 演变清单，威胁者可能会使用这些TTPs 来攻击人工智能系统，这些TTPs 是由人工智能安全社区共享的真实世界攻击和现实红队演习提供的。

附录C：自愿共享信息的其他途径

遭遇人工智能网络安全事件的组织可通过多种自愿渠道向联邦政府通报事件，以请求技术援助、报告犯罪或参与业务合作。人工智能社区还开发和部署了更多自愿共享信息的非正式机制，以促进社区对前沿人工智能事件的认识和讨论。除了本手册中描述的联系CISA 的方法外，各组织还应考虑以下选项。

附录D：其他资源

以下文件提供了组织可参考的其他信息资源，以了解人工智能系统的网络安全。

往期回顾

“

天极按

近日，美国网络安全和基础设施安全局发布《产品安全不良实践》，指南概述了被认为风险极高的产品安全陋习，尤其是对于生产用于关键基础设施或国家关键功能(NCF) 的软件的软件制造商而言。本指南还为软件制造商提供了降低相关风险的建议。

CISA 和联邦调查局 (FBI)（以下简称编写机构）共同编写了本指南，旨在敦促软件制造商在整个产品生命周期中优先考虑安全问题，从而降低客户风险。本文档适用于开发软件产品和服务（包括内部部署软件、云服务和软件即服务(SaaS)）的软件制造商。这也适用于在操作技术(OT)产品或嵌入式系统上运行的软件产品。编写组织强烈建议所有软件制造商避免这些产品安全陋习。通过遵循本指南中的建议，制造商将向客户表明，他们正在对客户的安全结果负责，这是设计安全的关键原则。本文档中包含的指导不具有约束力，尽管编写组织鼓励避免这些不良行为，但本文档并不强制要求这样做。

不良实践分为三类

1.产品属性：描述软件产品可观察到的、与安全相关的质量。

2.安全特性：描述产品支持的安全功能。

3.组织流程和政策，描述软件制造商为确保其安全方法的高透明度而采取的行动。

本清单重点突出，并不包括所有可能的不可取网络安全做法。未包含任何特定的网络安全实践并不表示编写组织认可或认为该实践具有可接受的风险水平。本列表中的项目是根据威胁情况选择的，代表了软件制造商应避免的最危险、最紧迫的不良做法。

产品特性

1) 使用内存不安全语言（如C 或C++）开发服务于关键基础设施或国家控制框架的新产品线是危险的，会大大增加国家安全、国家经济安全和国家公共卫生与安全的风险。

对于用内存不安全语言编写的现有产品来说，没有已发布的内存安全路线图是危险的，会大大增加对国家安全、国家经济安全和国家公共卫生与安全的风险。内存安全路线图应概述制造商为消除用内存不安全语言编写的优先代码组件（如面向网络的代码或处理密码操作等敏感功能的代码）中的内存安全漏洞而采取的优先方法。制造商应证明内存安全路线图将显著减少制造商产品中的内存安全漏洞，并证明他们正在合理地努力遵循内存安全路线图。内存安全路线图的发布不适用于宣布支持终止日期在2030 年1 月1 日之前的产品。

注：编写组织知道，迁移到内存安全语言必须投入大量的时间和资源。有鉴于此，鼓励软件制造商制定计划，既要在短期内减少内存安全漏洞，又要在长期内消除内存安全漏洞。例如，公司可以先用内存安全语言编写新的代码组件，同时实施硬件或编译器控制，以减少内存安全漏洞。随着时间的推移，公司可以使用内存安全语言重写高风险组件的部分内容（如执行加密操作的组件），从而逐步提高内存安全性。有关更多指导，请参阅《内存安全路线图案例》。

建议采取的行动：软件制造商在构建产品时，应系统地防止引入内存安全漏洞。软件制造商应使用内存安全语言开发新的产品线。对于现有产品，软件制造商应在2025 年底前发布内存安全路线图，概述其消除内存不安全语言编写的优先代码组件中内存安全漏洞的优先方法。

CWE（通用缺陷枚举）：CWE-119

资源：《内存安全路线图案例》、《CISA安全设计承诺（减少漏洞类别）》、《回到构件》、《NIST安全软件开发框架(SSDF) PW 6.1》。

2）在关键基础设施或NCF 服务产品中的SQL数据库查询字符串原始内容中直接包含用户提供的输入是危险的，会大大增加国家安全、国家经济安全和国家公共卫生与安全的风险。

建议采取的行动：软件制造商在构建产品时，应系统地防止引入 SQL注入漏洞，例如，持续强制使用参数化查询、准备语句或持续使用自动生成参数化查询的对象关系映射(ORM) 库。

CWE：CWE-89

资源： CISA安全设计承诺（减少漏洞类别）、SSDF PW.5.1、CISA SQL 注入安全设计警报。

3）在为关键基础设施或国家控制框架服务的产品中，将用户提供的输入直接纳入操作系统命令字符串的原始内容是危险的，会大大增加对国家安全、国家经济安全和国家公共卫生与安全的风险。

建议采取的行动：软件制造商在构建产品时，应系统地防止出现命令注入漏洞。举例说明的方法包括：始终确保命令输入与命令本身的内容明确区分开来；在可用的情况下，使用内置库函数而不是运行命令；使用限制性的允许列表，只允许字母数字字符和下划线对用户输入进行消毒。

注：本章旨在涵盖应用程序可能存在命令注入漏洞的情况，如用户在网站上的输入被调用到操作系统命令中。这不适用于软件故意允许用户执行命令的情况，如向用户暴露shell 的终端程序。CWE：CWE-78

资源：CISA 安全设计警报：消除操作系统命令注入漏洞、CISA安全设计承诺（减少漏洞类别）、SSDF PW.5.1。

4）发布带有默认密码（CISA 将其定义为整个产品默认存在且初始化时无需更改的通用共享密码）的用于关键基础设施或国家控制框架服务的产品是危险的，会大大增加国家安全、国家经济安全和国家公共健康与安全的风险。

建议采取的行动：软件制造商应确保产品中不存在默认密码，例如：

为产品提供随机的、实例唯一的初始密码。
要求安装产品的用户在安装过程开始时创建一个强密码。
提供有时间限制的设置密码，在设置过程完成后自动失效，并要求配置安全密码（或更安全的身份验证方法，如防网络钓鱼的 MFA）。
要求对初始设置进行物理访问并指定实例唯一凭证。
开展活动或提供更新，将现有部署从默认密码过渡到更安全的身份验证机制。

CWE：CWE-1392 和CWE-1393

资源：CISA设计安全承诺（默认密码），SSDF PW.9.1，CISA默认密码设计安全警报。

5) 用于服务关键基础设施或国家信息基础设施的产品，如果在发布时其组件包含CISA已知漏洞（KEV）目录中的可利用漏洞，则该产品的发布是危险的，会大大增加对国家安全、国家经济安全和国家公共健康与安全的风险。此外，如果 CISA 的KEV 目录中公布了影响产品的新KEV，且该KEV 可在产品中被利用，则软件制造商应及时向用户免费发布补丁，以解决KEV 问题。如果KEV在产品中不可利用，软件制造商应公开记录该漏洞的存在。不采取这些行动是危险的，会大大增加对国家安全、国家经济安全和国家公众健康与安全的风险。

建议采取的行动：软件制造商应在软件发布前修补软件组件中所有已知的漏洞。如果CISA 的目录中公布了新的KEV，制造商应及时向用户免费发布补丁（自包含KEV 的组件补丁发布之日起不超过30 天），并明确警告用户不安装补丁的相关风险。

如果制造商认为在其产品中无法利用KEV（例如，KEV只能通过一个从未被调用的函数被利用），制造商应公开发布书面文档，承认KEV 并解释如何在其产品中无法利用该KEV。

资源：CISA Secure by Design Pledge（安全补丁）、SSDF PW.4.4、Binding Operational Directive 22-01。

6）用于关键基础设施或国家控制框架服务的产品，如果在发布时包含有关键漏洞的开放源代码软件组件，则该产品的发布是危险的，会大大增加对国家安全、国家经济安全和国家公共健康与安全的风险。此外，如果所包含的开放源代码组件中可被利用的漏洞随后被披露，则未能及时向产品用户免费发布补丁或其他缓解措施，则该产品的发布是危险的，会大大增加风险。

建议采取的行动：软件制造商应负责任地使用和持续贡献其所依赖的开源软件。这包括通过采取以下行动，合理地评估和保护其依赖的开源软件：

以行业标准、机器可读的格式维护软件物料清单 (SBOM)，描述所有第一和第三方软件依赖关系，包括开源和专有软件，并将其提供给客户。
拥有管理开放源码软件的既定流程，包括采取合理措施：

在选定的每个开源软件组件上运行安全扫描工具，包括其依赖关系和传递依赖关系，以及更新后的每个后续版本。
选择维护良好的开源软件项目，并在适当的情况下为项目的持续维护做出贡献，以保持预期的质量标准。

评估替代方案，确定并选择安全性和维护性最高的方案。
从符合安全最佳实践的软件包资源库（或其他适当来源）下载开源软件项目工件。

例行监控所有开源软件依赖项中的CVE或其他与安全相关的警报，如寿命终止，并在必要时进行更新。
在制造商自己的构建系统中缓存所有开源依赖项的副本，不直接从未经验证的公共来源更新产品或客户系统。

在业务规划活动中纳入第三方开源软件依赖项更新到新的主要版本的成本，并确保这些依赖项在预期的产品生命周期内继续获得必要的安全修复。

如果制造商认为在其产品中无法利用关键漏洞（例如，漏洞只能通过一个从未被调用的函数来利用），制造商应公开发布书面文档，承认该漏洞并解释如何在其产品中无法利用该漏洞。

资源：SSDF PW.4.4，ESF管理开放源码软件和软件物料清单的建议做法，TODO集团开放源码计划办公室(OSPO) 定义和指南

7) 服务于关键基础设施或国家控制框架的信息技术产品，如果使用已知的不安全或已废弃的加密算法，或在传输或存储敏感信息时缺乏加密，则会造成危险，并极大地增加对国家安全、国家经济安全和国家公共健康与安全的风险。

建议采取的行动：软件制造商应使用现代加密算法，确保所有敏感数据在传输和静态时都受到保护。软件制造商应避免使用已知的不安全或废弃算法，如传输层安全(TLS) 1.0/1.1、MD5、SHA-1和数据加密标准(DES)。此外，软件制造商应开始支持符合NIST 指南的标准化后量子加密算法。所有网站都应使用现代TLS 加密。

资源：Let's Encrypt、OWASP传输层安全手册、NIST后量子加密算法

8) 关键基础设施或国家控制框架所用产品的源代码中存在硬编码凭证或机密是危险的，会大大增加对国家安全、国家经济安全以及国家公共健康和安全的风险。

建议采取的行动：软件制造商应确保源代码中不存在机密，例如使用机密管理器，让持续集成/持续部署(CI/CD)管道和应用程序可以用来安全地检索机密。此外，软件制造商应将扫描代码中是否存在秘密或凭证纳入其开发流程。

资源：OWASP 硬编码密码、OWASP秘密管理

安全功能

9) 对于服务于关键基础设施或国家关键功能的信息技术(IT) 产品，如果在产品的基线版本中不支持多因素身份验证(MFA)，包括防网络钓鱼的MFA，那么这些产品是危险的，会大大增加对国家安全、国家经济安全以及国家公共健康和安全的风险。

此外，默认情况下不对管理员账户启用MFA 的IT产品也是危险的，会大大增加对国家安全、国家经济安全以及国家公共健康和安全的风险。这不适用于宣布支持终止日期在2028 年1 月1 日之前的产品。

对于使用MFA 可能会带来安全风险的OT产品（例如，急诊室的医疗设备，医生的访问延迟可能会导致病人受到伤害），制造商应采用能有效减轻单因素凭证滥用威胁和其他身份验证威胁的身份验证措施。制造商应公布详细说明这种方法的威胁模型。

对于可以安全使用MFA 的OT产品，如供应商/维护账户、远程访问的用户和工程工作站以及远程访问的人机界面，产品应支持MFA。

注：其他防网络钓鱼的身份验证形式（如密码钥匙）即使是唯一的身份验证形式，也符合此定义。

建议采取的措施：对于除上述 OT产品外的所有产品，软件制造商应在产品中本地支持MFA，包括防网络钓鱼MFA（如果产品本身处理身份验证），或在产品的基线版本中支持使用外部身份提供程序，如通过基于标准的单点登录。软件制造商应要求管理员使用MFA，并允许管理员要求其组织内的用户使用MFA（如适用）。

资源：CISA 设计安全承诺（多因素身份验证），SSDF PW.9。

10) 对于用于关键基础设施或国家控制框架的产品而言，不向客户提供产品基线版本中的当前和历史人工制品和功能，不足以收集通常影响特定产品或产品所属类别的入侵类型的证据，是危险的，会大大增加对国家安全、国家经济安全和国家公众健康与安全的风险，这些入侵类型至少包括：

配置更改或读取配置设置；
身份（如登录和令牌创建）和网络流（如适用）；以及
数据访问或创建业务相关数据。

建议采取的行动：

作为产品基线版本的一部分，软件制造商应以行业标准、机器可读格式向客户提供至少与上述所列领域相关的日志。
对于云服务提供商和SaaS 产品，软件制造商应在规定时间内（至少6 个月）免费保留此类日志，并向客户提供这些日志。

资源：CISA 设计安全承诺（入侵证据）。

组织流程和政策

11) 用于服务关键基础设施或NCF 的产品的软件制造商不及时发布CVE（至少针对所有关键或高影响漏洞）是危险的，会大大增加对国家安全、国家经济安全和国家公众健康与安全的风险。(无论是内部发现还是由第三方发现）影响此类产品。此外，不在每个CVE 记录中包含CWE字段是危险的，会大大增加对国家安全、国家经济安全和国家公众健康与安全的风险。

建议采取的行动：软件制造商应及时公布所有关键或高影响漏洞的完整CVE，包括适当的CWE 字段。

资源：CISA 设计安全承诺(CVE)、SSDF RV.1.3。

12) 不发布将产品纳入其范围的漏洞披露政策（VDP）是危险的，会大大增加国家安全、国家经济安全和国家公共健康与安全的风险。

建议采取的行动：