headless 曰く、

米Cybersecurity & Infrastructure Security Agency (CISA)が連邦捜査局や国家安全保障局(NSA)のほか、オーストラリア・カナダ・英国・ドイツ・オランダ・ニュージーランドのサイバーセキュリティ当局と共同で、ガイダンス「Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Security-by-Design and -Default」を公開している (ニュースリリース、 VentureBeat の記事)。

ガイダンスでは顧客の手元に届いてから確認された脆弱性を修正する現在のソフトウェアは仕様上脆弱 (Vulnerable By Design) だと指摘。ソフトウェアメーカーは出荷するソフトウェアを仕様上セキュア (Secure By Design) かつ既定値でセキュア (Secure By Default)になるよう、緊急の対策が必要だという。

ソフトウェアのセキュリティは製品の開発や構成、出荷に先立つ設計プロセスに組み込む必要があり、セキュリティ対策で顧客に負担をかけることなくメーカーが責任を持つ必要があるとのこと。また、脆弱性情報の透明性確保に努めることや、セキュリティを優先する組織構造の構築なども挙げられている。