应对国家软件理解鸿沟 | CISA

作为国家网络防御机构，CISA 正联合领导跨部门行动，以解决国家在软件理解方面的差距。我们正在推动相关努力，增强组织和构建软件的能力，以便在作为软件生产者和消费者的组织投入使用之前，了解其功能性、安全性和安全性。

鉴于我们理解、管理和减少网络及关键基础设施风险的使命，CISA 倡导在正常、异常和敌对条件下全面检查和审查软件的能力。这些能力必须扩展到任务范围，同时提供成本效益高、可靠且可操作的答案。

背景：今年早些时候，CISA、国防高级研究计划局（DARPA）、国防部研究与工程副部长办公室（OUSD R&E）以及国家安全局（NSA）发布了一份联合报告《缩小软件理解鸿沟》。该报告提出了建议，采取深思熟虑和协调一致的措施，在我们的对手能够利用这一差距之前缩小它。

制造商和开发者应设计便于分析的软件——即设计软件以支持独立审查其工件（不仅仅是源代码）。这种审查有助于通过验证和确认其可能的行为，使软件更加安全，然后再由组织和个人投入使用。

新报告：为开始解决这一需求，桑迪亚国家实验室最近发布了一份报告《国家软件理解需求》。该报告描述了软件理解鸿沟、其对国家安全和关键基础设施任务构成的风险、导致这一鸿沟的历史决策以及解决该问题的选项。

软件理解鸿沟是一个难以解决的挑战，但却是至关重要的。缩小这一鸿沟可能需要强大的公私合作，以创建必要的能力。

行动呼吁：通过提供足够的软件理解能力，美国将在可预见的未来加强关键基础设施以抵御国家支持的活动，并在全球政治中确保优势。我们邀请软件分析专家和任务所有者与 CISA 以及我们在 DARPA、OUSD R&E、NSA 和国家核安全局的合作伙伴合作，共同确定研究重点，并持续关注解决这一关键挑战。