近日，美国国家网络总监办公室（ONCD）发布了关于开源软件安全倡议（OS3I）的2023年年终报告。开源软件安全倡议的核心理念是“设计安全”（Secure by design），2023年，它还得到了美国《国家网络安全战略》支持，联邦政府将与私营部门和开源软件社区合作，继续投资开发安全软件，包括内存安全语言和软件开发技术、框架和测试工具。

2024年，OS3I将确定联邦政府如何降低最重要的系统性风险，并促进开源软件社区的长期可持续性发展；加强对开源软件生态系统进行长期、持续的安全投资，与ONCD、美国网络安全和基础设施安全局(CISA)、美国国家科学基金会（NSF）、国防高级研究计划局（DARPA）、管理与预算办公室（OMB）一同收集开源社区的意见，并将政府重点放在开源软件安全上，推进“投资美国”议程；推进CISA发布的开源软件安全路线图。

2023年美国的设计安全部署有重大进展

“设计安全”的定义源于制造侧安全的目标和愿景,是欧美国家对网络安全责任的深刻反思。近年来，以APT和 0 day为代表的网络安全问题愈发突出，网络安全威胁规模越来越大，危害也越来越深。而数字产品、服务的提供商经常忽视产品安全，导致安全责任失衡；更有甚者，一边制造网络安全问题，一边设法解决以从中获利。如，英特尔在2023年被指控其在2018年就发现了其处理器存在“Downfall”漏洞,然而英特尔为了避免更新修补漏洞影响处理器性能，选择对该漏洞置之不理，放任存在安全隐患的产品进入市场，让使用者面临不必要的安全风险。

欧盟委员会科学联合研究中心曾在报告中指出：“数字行业缺乏有效竞争，且很容易出现激励错位。”2023年2月，CISA执行总监发表演讲“停止在网络安全问题上推卸责任”，强调企业必须将安全融入科技产品，阐明了美国向制造侧转移网络安全责任的强硬态度。网络安全责任的失衡，仅通过用户侧或第三方机构基于事后修补的方式，已难以应对日益严峻的威胁环境，需要通过制造侧发力，在系统工程的早期阶段就将网络安全问题考虑进来，才能最小化网络安全风险。

设计安全理念同样也是在美国国家网络安全战略框架下的。2023年的美国《国家网络安全战略》中提出，现有驱动美国数字生态系统的底层架构存在严重缺陷，美国必须从根本上改变 (make fundamental changes) 数字生态系统的底层驱动，向防御优势方转变。随后，在7月的《国家网络安全战略实施计划》中，美国提出要推动开发安全设计和默认安全的原则和实践，并指定专门部门负责实施并设定时间节点，保持每年进行动态更新。

作为对网络安全战略的响应，CISA、美国联邦调查局以及其他国家机构，包括澳大利亚网络安全中心、英国国家网络安全中心、加拿大网络安全中心、德国联邦信息安全办公室、荷兰国家网络安全中心、新西兰计算机应急小组、新西兰国家网络安全中心等在2023年4月联合发布了《改变网络安全风险平衡: 设计安全与默认安全的原则与方法》（10月进行了更新，加入了捷克、挪威、以色列、韩国、日本新加坡等），其内容主要围绕软件产品的安全设计和配置提供指导建议。该指南指出，只有结合安全的设计实践，才能打破不断创建和应用修复程序的恶性循环。

2023年9月，CISA美国联邦网络安全和基础设施安全局（CISA）发布《CISA开源软件安全路线图》，从维护联邦政府网络安全和关键基础设施安全的角度出发，明确了政府部门在支持开源软件可持续发展和安全方面的职责定位，部署了关键任务。依托OS3I，CISA将推动政府在关键领域先试先行，促进开源软件生态的安全和韧性，并且将在美国国家科学基金会、国防高级研究计划局和管理和预算办公室的共同推动下，发布相关报告确定政府先行先试的关键领域。

值得一提的是，近日，CISA也发布了年终回顾，CISA在2024年的展望中特意提到了“中国威胁着我们关键基础设施的完整性”，而没有提起任何其他国家。

参考资料

ONCD官网、CISA官网