应对国家软件理解差距 | CISA

作为国家网络防御机构，美国网络安全和基础设施安全局（CISA）正牵头一项跨部门合作，以应对国家在软件理解方面的差距。我们正致力于提升软件的构建和分析能力，以便在组织（无论是作为软件生产者还是消费者）投入使用前，就能理解其功能、安全性和安全性。鉴于我们理解、管理和降低网络及关键基础设施风险的任务，CISA倡导应具备在各种正常、异常及敌对条件下彻底检查和审视软件的能力。这些能力必须能够扩展到任务所需的范围，同时提供成本效益高、可靠且可操作的答案。

背景： 今年早些时候，CISA、国防高级研究计划局（DARPA）、负责研究与工程的国防部副部长办公室（OUSD R&E）以及国家安全局（NSA）联合发布了一份题为《弥合软件理解差距》的报告。该报告提出了建议，旨在我们的对手能够利用此差距之前，采取审慎而协调的措施来弥合它。

制造商和开发者应设计易于分析的软件——即，设计时应支持独立审查其制品（而不仅仅是源代码）。这种审查有助于使软件更安全，因为它使得在组织和个人投入使用前，能够验证和确认其可能的行为。

新报告： 为开始应对这一需求，桑迪亚国家实验室最近发布了一份报告《国家对软件理解的需求》。该报告描述了软件理解差距、它给国家安全和关键基础设施任务带来的风险、导致这一差距的历史决策以及应对方案。

软件理解差距是一个难以应对但至关重要的挑战。弥合这一差距可能需要强有力的公私合作，以创建必要的能力。

行动呼吁： 通过提供足够的软件理解能力，美国将在可预见的未来，强化关键基础设施以抵御国家支持的活动，并在地缘政治中确保优势。我们邀请软件分析专家和任务所有者与CISA以及我们在DARPA、OUSD R&E、NSA和国家核安全局的合作伙伴共同参与，共同制定研究重点，并持续聚焦于应对这一关键挑战。