主要观点：2024 年 RSA 大会期间分析了美国政府通过设计提升软件安全的计划，需改变软件安全责任的承担方式，将更多责任转移到软件制造商身上。
关键信息：

• 美国网络安全与基础设施安全局（CISA）高级技术顾问 Bob Lord 指出应克服软件安全方面的既定规范，改变安全责任承担者。
• 2023 年发布的美国国家网络安全战略旨在调整平衡。
• 美国政府官员和网络安全专家讨论了通过两种关键方式实现责任转移，包括实施内存安全编码语言和引入软件制造商的责任。
  重要细节：
• 约三分之二的关键漏洞是内存安全问题，如缓冲区溢出，软件中广泛使用的 C/C++语言无内存安全机制。
• 2024 年 2 月白宫发布论文敦促科技行业采用内存安全编程语言，Rust 语言提供了替代 C 的可行选择，但其推广面临挑战，需逐步推进，包括确保新软件用 Rust 编写、培训开发者等。
• 目前软件许可证的责任限制阻碍了安全软件开发的激励，政府需进行立法变革，构建责任制度，包括确定法律框架、定义护理标准等。
• 改变软件制造商行为的关键是激励，包括政府明确安全软件开发的标准，软件公司进行“彻底透明”，客户提出需求信号，以及在教育系统中培养开发者等。