对关键基础设施的重大网络攻击，如太阳风攻击https://www.zdnet.com/article/hacker-modified-drinking-water-chemical-levels-in-a-us-city/“>佛罗里达的水处理设施，以及世界各国政府都试图解决被篡改产品的问题组织。 

“产品不同。产品离开企业。想想特斯拉的产品安全。是那辆车。你可以想到一家医疗器械公司，但即使是在更信息化的公司，它也是一个应用程序，是一个独立的网站，他们开始成为企业之外的人。他们有自己的生活，”Wysopal告诉ZDNet。 

所见即所得 是网络安全领域的知名人物，是最早的脆弱性研究者之一，也是L0pht的七个成员之一https://www.hsgac.senate.gov/imo/media/doc/thompson051998.pdf“target=”\u blank“rel=”noopener noreferrer nofollow“data component=”externalLink“>黑客智囊团“，他在1998年告诉美国参议院，该组织可能在2012年摧毁互联网30分钟。

Wysopal认为，像这样的产品需要一个C级的执行官，他比CISO通常拥有更好的工程技能——这个角色更专注于监控网络和系统，以防黑客入侵。 

“从历史上看，CISO不需要在软件或设备中内置安全性，”他说。   

“传统的CISO没有安全工程和产品工程背景。他们传统上是通过法规遵从性或网络安全成长起来的，他们不了解软件或代码级别的漏洞。因此，在很多情况下，产品安全部不是向首席信息官汇报，而是向工程副总裁汇报。”

在Veracode，首席信息官作为首席技术官向他汇报，而他的产品主管（主管级别）也向他汇报。 

“产品安全性是一个独立的功能，即使在Veracode。我们是一家软件即服务公司。我们不提供任何产品或任何物联网，我认为这确实需要一个提高产品安全性的人。“它比其他业务的安全性更重要，”他认为，并补充说，在某个时候，应用程序成为产品，而不仅仅是后端系统的延伸。这与银行业、保险业、零售业、政府和其他行业有关，这些行业现在创建的应用程序使业务在竞争对手中脱颖而出。   

“这种软件的风险开始变得更加重要，”他说。正如SolarWinds攻击所显示的那样，攻击者变得越来越聪明。

“当有人在植入一个复杂的后门时，你不可能仅仅通过查看代码就能发现它，”他说。

“这就是为什么软件开发管道的完整性和安全性变得如此重要。因为这就是你如何防止像太阳风那样有人插后门。因此，与其希望在最后查看二进制工件并希望检测到它，不如说这不是解决此类攻击的好办法。” 

解决方案是，他说，在管道的所有不同部分都有良好的安全性。这包括确保有权修改代码的开发人员在访问代码存储库以更新代码时使用双因素身份验证。他们还应该对所有不同的工件进行加密签名，这些工件将成为软件产品最终构建的一部分。

Wysopal对美国总统表示乐观https://www.zdnet.com/article/linux-and-open-source-communities-rise-to-bidens-cybersecurity-challenge/“>Joe Biden以网络安全为重点的行政命令将对美国私营部门如何处理网络安全产生积极影响。 

“我们看到与联邦政府做生意的要求将在私营部门得到采纳。许多不同行业的企业都会将此推给他们的供应商。网络保险公司会看到这一点，然后说，‘嘿，这是在降低联邦政府的风险，如果你采取同样的做法，你的保险费就会减少。’ 

“联邦政府正在树立一个好榜样。与此同时，我们看到国会可以通过影响在美国做生意的每个人的法律。国会也将从中吸取教训，并将其中一些内容编入法律。”

换句话说，拜登的行政命令虽然只适用于联邦机构，但可能对传统的关键基础设施以及银行、医疗和美国认为至关重要的其他部门产生重大影响。 

“这可能是法律规定的。这可能不仅仅是市场促成的，”他说。

这个传播勒索软件的恶意软件僵尸网络不会消失

Apple对Mac恶意软件的数量并不满意，通过注册，您同意https://redventures.com/CMG-terms-of-use.html“target=”\u blank“rel=”noopener noreferrer nof