需要有人对违约行为负责。我们决定是你，软件供应商先生/女士!

白宫公布了国家网络安全战略它理所当然地受到了很多关注。我认为这是一份非常优秀的文档，而且考虑得非常周到(我特别喜欢政府将“促进soms的进一步发展”这句话)。然而，有一个部分我发现，嗯，假设我发现它缺乏合理的推理。这是第24页和第25页上题为“战略目标3.3:转移不安全软件产品和服务的责任”。周一，CISA主任Jen Easterly在卡内基-梅隆大学的演讲中对这部分内容进行了试运行;演说被报道了这文章载于华盛顿邮报》周三。

说实话，我甚至不反对这一节中的所有语言。例如，我完全同意，软件供应商不应该在那些没有人阅读但每个人都必须签署的100页“合同”中免除对缺陷的所有责任，如果他们想使用软件的话。

然而，我真正反对的是这一节的暗示(以及伊斯特利周一的评论)，即当出现网络入侵时，默认的假设总是软件开发人员的错。这是因为许多开发人员“忽略了安全开发的最佳实践”，“发布带有……已知漏洞的产品”，或者“集成未经验证或来源未知的第三方软件”。

这是这种态度的最佳表达WaPo文章一名高级政府官员(该官员当然需要保持匿名，否则他们将因说实话而受到惩罚)“周三告诉记者，该提议将把责任放在‘最有利的地方’，主要是‘开发和销售软件的公司’。”

让我换一种说法来更清楚地说明这句话的意思:“我们不关心在‘这是谁的错?’的意义上确定责任的位置;太20岁了^th世纪。相反，我们真正关心的是“既然我们已经说过他们是罪魁祸首，那么谁最容易受到压力而为违约承担责任?”他说，我对这种坦率表示赞赏，不过如果这位官员能说出自己的身份就更好了。

当然，我当然不否认有些开发人员违反了最佳实践。但令我惊讶的是，考虑到撰写这部分战略的人显然非常关心为未来的网络入侵分配责任，却没有提到其他可能分担责任的实体。首先也是最重要的是，如果用户没有应用补丁，没有正确配置防火墙，也没有花一分钱培训他们的安全人员(其中可能包括总统十几岁的儿子，他在完成足球训练后会过来)，情况会如何?

但我们不能就此止步。报告中也没有提到让客户为自己的安全负责的云提供商，尽管他们中的许多人显然不了解云安全是如何工作的表现出一种在这方面)。或者云提供商很乐意允许新的，未经测试的公司在他们的云上销售应用程序的访问权，而不太关注烦人的小问题，比如……你知道的…这些一年前还在兜售抵押贷款的家伙，知道如何安全地做到这一点吗?

最后，没有提到一个国家政府(我不会告诉你哪一个我说的是国家政府，但不是爱沙尼亚的政府)，投入了大量资金项目爱因斯坦， 21^圣世纪版的马其诺防线．爱因斯坦计划旨在保护美国免受外国网络攻击。值得赞扬的是，它成功地保护了美国免受俄罗斯的网络攻击，就像1940年马奇诺防线保护法国免受德国军队的攻击一样有效——也就是说，根本不有效。

俄罗斯人没有被新闻报道吓倒，通过设置他们需要的所有服务器来执行他们非常出色的执行，绕过了爱因斯坦计划攻击太阳风号总部位于美国的云提供商，所有这些都完全在美国的边界内!至少法国人今天可以把马其诺防线的防御工事作为旅游景点，这比我们在爱因斯坦计划中说的要多。

我还可以继续列举，但你已经明白了:几乎所有网络入侵的责任都可以追溯到各行各业成千上万个无知的人。如果你想正确地分配责任，你必须追踪所有这些人，并花一两年的时间弄清楚这些人每个人应该承担多少责任。然后，你必须让他们每个人都支付他们应得的份额。

但如果你只说软件开发人员负责，那就简单多了。这样，你就可以及时回家与家人共进晚餐。

在这篇博客文章中表达的任何观点严格来说都是我的，并不一定与Tom Alrich LLC的任何客户共享．如果你想对你在这里读到的东西发表评论，我很乐意听到你的声音。请电邮至tom@tomalrich.com．