这是关于软件安全的变更记录和概述，主要内容如下：

• 变更记录：

  • 2.0 版本（2025 年 1 月）纳入了 78 条公众意见，包括新增 3 种不良实践、在内存安全部分添加上下文、增加防止 SQL 和命令注入漏洞的推荐示例、明确已知利用漏洞的补丁时间线、添加针对运营技术产品的多因素认证语言等更新。

• 概述：

  • 遵循 CISA 的“安全设计”倡议，软件制造商应从软件开发开始就将安全作为核心考虑因素，并贯穿整个生命周期。本自愿性指南概述了被认为风险极高的产品安全不良实践，以及减轻这些风险的建议，适用于各类软件制造商。

• 产品属性：

  • 使用内存不安全语言开发新的关键基础设施或 NCF 服务产品线危险，应使用内存安全语言；现有内存不安全语言产品若无内存安全路线图也很危险；直接将用户提供的输入包含在 SQL 或操作系统命令字符串中危险；发布带有默认密码的产品危险；发布包含已知可利用漏洞组件的产品危险；使用已知不安全或已弃用的加密算法或缺乏敏感信息传输或存储加密的产品危险；源代码中存在硬编码凭证或机密危险。推荐采取相应措施，如使用安全的编程语言、参数化查询等、防止命令注入、提供随机密码等、及时修补漏洞、负责管理开源软件等。

• 安全功能：

  • 用于关键基础设施或 NCF 的信息技术产品若无多因素认证（包括防钓鱼 MFA）危险，对于某些 OT 产品应采用有效措施应对 MFA 带来的风险；产品应提供收集常见入侵证据的功能和日志。推荐采取相应措施，如支持 MFA、提供日志等。

• 组织流程和政策：

  • 软件制造商未及时发布关键或高影响漏洞的 CVE 危险，且应在每个 CVE 记录中包含 CWE 字段；未发布包含产品范围的漏洞披露政策危险，应建立有效的政策并及时修复漏洞；对于本地产品，未清晰传达支持期限危险，应在销售时明确并提供安全更新。

总之，软件制造商应遵循这些建议，以降低客户风险，保障国家安全、经济安全和公共健康安全。