美国网络安全和基础设施安全局与联邦调查局联合发布《产品安全不良实践（第2版）》

  2025年1月，美国网络安全和基础设施安全局（CISA）与联邦调查局（FBI）联合发布《产品安全不良实践（第2版）》，为软件制造商提供指导，以降低关键基础设施或国家关键功能相关软件产品的安全风险。

  软件制造商应在软件开发全过程将安全作为核心考量。此指导针对开发各类软件产品和服务的制造商，虽不具法律约束力，但建议避免不良实践。不良实践分为产品属性、安全功能、组织流程和政策三类。

  1、产品属性相关不良实践及建议措施

  内存不安全语言使用问题：用内存不安全语言（如C、C++）开发关键基础设施或NCF新产品线，或现有此类产品无内存安全路线图，会增加国家安全等风险。建议用内存安全语言开发新产品，现有产品制造商2025年底前发布路线图，逐步消除内存安全漏洞。

  SQL注入漏洞问题：关键基础设施或NCF产品将用户输入直接用于SQL数据库查询字符串会带来风险。制造商应通过参数化查询等方式防止该漏洞。

  命令注入漏洞问题：在关键基础设施或NCF产品中直接将用户输入用于操作系统命令字符串有风险。制造商应确保命令输入与命令内容分离等方式预防。

  默认密码问题：关键基础设施或NCF产品含默认密码不安全。制造商可提供随机初始密码等多种方式确保无默认密码。

  已知被利用漏洞（KEV）问题：产品发布时含CISAKEV目录中的漏洞，或新KEV出现后未及时处理，会增加风险。制造商应在发布前修复组件漏洞，新KEV发布后及时免费打补丁或说明情况。

  开源软件组件漏洞问题：关键基础设施或NCF产品含开源软件组件且有严重漏洞，若不及时处理会有风险。制造商应合理评估和保障开源软件依赖，如维护软件物料清单等。

  加密算法问题：关键基础设施或NCF产品使用不安全或过时加密算法或不加密敏感信息有风险。应使用现代加密算法并遵循NIST指南。

  硬编码凭证问题：产品源代码中存在硬编码凭证或密钥不安全。制造商应使用密钥管理器并在开发过程中扫描。

  2、安全功能相关不良实践及建议措施

  多因素认证（MFA）问题：关键基础设施或NCF产品基线版本不支持MFA（含防钓鱼MFA）或管理员账户默认未启用MFA有风险。制造商应支持MFA，并对管理员要求启用，OT产品视情况而定。

  入侵证据获取问题：关键基础设施或NCF产品基线版本未提供足够的当前和历史数据以收集常见入侵证据有风险。制造商应提供相关日志，云服务和SaaS产品应留存一定时间并免费提供给客户。

  3、组织流程和政策相关不良实践及建议措施

  CVE发布问题：软件制造商未及时发布关键或高影响漏洞的CVE或CVE记录中不含CWE字段有风险。应及时发布完整CVE并包含CWE字段。

  漏洞披露政策（VDP）问题：未发布含产品范围的VDP有风险。制造商应发布VDP，授权公众测试，承诺不追究善意测试者，提供报告渠道并按标准披露漏洞，及时修复报告的漏洞。

  产品支持周期问题：对于本地部署产品，制造商未明确产品支持周期有风险。应在销售时说明并在支持期内提供安全更新。

来源：商务部官网