谷歌已承诺投资100亿美元加强美国基础设施的网络安全,包括促进零信任计划、帮助保护软件供应链和增强开源安全。该公司将使用多年来一直在运行的多项举措来扩展开源模糊测试工具,以推动Linux内核开发人员更好地做好安全工作,并促进内存安全编程语言在Linux编程中的使用。本周早些时候,美国总统拜登召集了苹果、谷歌、微软和摩根大通等行业巨头,讨论保护美国关键基础设施的计划。.此前,美国商务部国家标准与技术研究院(NIST)选择了18家网络安全公司,为美国联邦机构实施零信任设计。谷歌虽然不是18家选定的公司之一,但正在与NIST合作开发该框架。零信任假设网络已被破坏,并将重点从加强网络边界转移回应用程序、数据和人员。谷歌基础设施副总裁埃里克布鲁尔和高级软件工程师丹洛伦斯写道:“我们应该通过安全的编程语言、平台和框架来主动消除漏洞,而不是被动地修复漏洞,而这些漏洞可以堵住各种漏洞。”一篇博文。在问题离开开发人员的键盘之前预防比试图解决问题及其后果更安全、成本更低。”8月25日,美国总统乔·拜登在白宫会见私营行业巨头,指出仅美国联邦政府无法解决保护关键基础设施免受网络攻击的难题,近期重大网络攻击事件频频爆发,例如ColonialPipeline勒索软件攻击、SolarWinds软件供应链攻击、MicrosoftExchange服务器大规模漏洞利用事件未来五年分别投资100亿和200亿美元,改善美国对未来网络安全威胁的应对《华盛顿邮报》发表拜登言论称:“我认为你有能力也有责任提高网络安全水平。”最后,我们都有很多工作要做。今年6月,布鲁尔连发四篇文章回应拜登强化软件。关于供应链安全的第14028号网络安全行政命令。其中一篇文章探讨了C编程中固有的安全问题和Rust的兴起。Brewer写道:“安全的编程语言和应用程序框架可用于在软件上强加一种结构,从而实现大规模的高可信度安全推理。“但是确保真实世界的C代码真正满足这个要求是很困难的,而且通常需要对堆内存结构进行极其困难的推理。同样,确保所有流入Web应用程序的HTML标记语言的数据都经过正确验证和转义也很棘手,因为数据在从输入到输出的过程中会流经多个组件,例如通过存储模式。“相比之下,作为一种系统开发语言,新兴的Rust语言在内存安全方面内置了构造安全方法,可以有效地替代了C和C++。例如,Rust的类型系统强制执行所有权机制,确保无法访问已释放的内存等。因此,Google支持将Rust作为仅次于C的编程语言纳入Linux内核。Lorenc和Brewer解释说,软件漏洞应该从一开始就受到限制,而不是费力地处理新的漏洞。Microsoft和AWS还支持Rust作为C和内存安全的C++系统编程替代方案。谷歌提倡软件代码测试,包括使用来自微软GitHub的工具,例如Dependabot——一种用于保持开源软件包或依赖项更新的工具。谷歌还提议将软件物料清单(SBOM)纳入美国官方对软件供应链攻击的回应。对此,Linux基金会正在努力执行拜登的网络安全行政命令。由于现代程序使用了大量的库依赖,开源软件和专有软件不容易解决这是一个复杂的问题。谷歌声明:“SBOM需要一个合理的信噪比:如果它包含太多信息,它就不会有效,因此我们敦促NTIA(美国国家电信和信息管理局)制定最小和最大级别的粒度和深度对于特定用例。需要。”
