美国网络安全和基础设施安全局 （CISA） 发布了一份新指南，以加强组织评估软件制造商安全实践的方式。

该指南强调了在软件采购过程中优先考虑产品安全性的重要性，而不是仅仅关注制造商的企业安全措施。该机构强调了这种方法对于防御勒索软件和其他网络威胁至关重要。

CISA写道：“本指南为组织提供了在购买软件时要提出的问题，将产品安全性集成到采购生命周期的各个阶段的注意事项，以及根据安全设计原则评估产品安全成熟度的资源。

这种“安全设计”理念要求制造商将安全作为核心要素，与 CISA 的既定原则保持一致，其中包括对客户安全结果负责、保持透明度和培养领导力以实现这些目标。

目前，许多组织都专注于与企业安全相关的合规性标准，例如内部基础设施保护。

CISA表示：“一个组织的采购人员通常对特定技术收购的核心网络安全要求有一般的了解。“然而，他们经常不会评估给定的供应商是否制定了实践和政策，以确保从产品开发生命周期的最早阶段开始，安全性就是一个核心考虑因素。”

该指南强调，需要转向评估软件制造商如何确保其产品能够抵御网络攻击。它提供了可操作的步骤，用于将产品安全性集成到采购生命周期的不同阶段：购买前、购买中和购买后。

例如，在采购之前，组织应询问制造商的安全方法。在采购过程中，应将安全要求纳入合同。购买后，建议对制造商的产品安全性进行持续评估。

该指南还强调了消除默认密码、支持多因素身份验证 （MFA） 和解决系统性漏洞的重要性。它建议软件制造商提供安全日志的证据，维护第三方依赖项的详细记录，并展示及时的漏洞报告。