在黑帽会议上，联邦政府推动科技公司采用“激进的透明度”

拉斯维加斯–本周，两名政府官员来到这里，带来了一些安全提示，这些提示比与会者原本预计会在华盛顿提出的高级别谈话要点要具体得多。

鲍勃·洛德和杰克·凯布尔都是美国网络安全和基础设施安全局(CISA)的高级技术顾问，他们向科技供应商提供了一些可行的建议：

这一建议是CISA Secure by Design努力的一部分，该机构正试图推动科技供应商采用安全最佳实践，以便客户不再被留给自己的安全待办事项清单。

“我们希望他们拥有自己产品的安全成果，”凯布尔说。默认情况下，无论部署在哪里，它都是安全的。

他敦促他们实行“彻底的透明度和责任制”–并补充说，这不仅意味着坦诚面对失败，还意味着庆祝安全胜利–并建立将安全列为最高优先事项的组织结构，而不是将其降级到CISO手中。凯布尔说：“安全需要被视为优先事项，因为如果不是这样，速度进入市场总是会赢的。”

洛德将目前的情况与几十年前政府将大部分汽车安全问题交给个别制造商进行比较。简报的标题是《任何速度都不安全：CISA培育技术生态系统安全的计划》，这让人想起拉尔夫·纳德1965年谴责底特律做法的书。

他建议开发人员和工程师记住，他们的工作将被没有技术背景或经验的人使用，他说，“我们希望他们思考这个领域到底发生了什么。”

洛德说，安全的方法应该像一条光线充足的小路，而不是用户必须自己导航的东西。“我们希望那些光线充足的小路随处可见，”他说。我们如何做到这一点，我们将需要你们的帮助。

洛德已经看到了当一个组织把太多的注意力和善意留给员工时会发生什么，他在民主党全国委员会和雅虎都经历了大规模黑客攻击后，在CISO工作过。

两人指出，政府不仅在与技术供应商交谈，还在听取他们的意见：周四上午，包括中国国家科学基金会(CISA)、美国国家科学基金会(NSF)和美国国防高级研究计划局(DARPA)在内的一批机构宣布了一项信息请求，征求对联邦政府如何促进采用内存安全语言和提高开源软件安全性的意见。

在这一声明和这次黑帽谈话之前，拜登政府几个月来一直在努力加强国家的网络安全态势。白宫对政府IT承包商提出了更严格的要求，效仿国家运输安全委员会成立了网络安全审查委员会，以调查Log4j漏洞等系统级故障，并启动了一项自愿的物联网设备安全标签计划。

周三在黑帽大会上，DARPA宣布了一项人工智能网络挑战赛，奖金近2000万美元，以寻找使用人工智能工具提高现有软件和基础设施的安全性的方法，从而增加了这一议程。