De Amerikaanse overheid vraagt softwareontwikkelaars om de webinterfaces waarmee hun producten zijn te beheren standaard uit te schakelen. Daarnaast moet er bij eerste gebruik een pop-up verschijnen waarin beheerders wordt gewaarschuwd als ze een systeem op internet aansluiten en moet het product zo worden geconfigureerd dat het in een kwetsbare staat, zoals wanneer het direct met internet verbonden is, niet werkt.

Dat stelt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security in een vandaag verschenen 'Secure by Design Alert'. Met het advies wil het CISA softwareontwikkelaars aansporen om proactieve misbruik van kwetsbaarheden in webinterfaces tegen te gaan, door hun producten via 'Secure by Design' principes te ontwerpen en ontwikkelen.

Daarnaast zouden softwareontwikkelaars veldonderzoek kunnen doen, om te begrijpen hoe hun klanten producten in hun eigen omgevingen uitrollen en of klanten dit op een onveilige manier doen. "Dit helpt om het gat tussen de verwachtingen van de ontwikkelaar en daadwerkelijk gebruik door klanten te overbruggen", aldus het CISA. "Veldonderzoek helpt met het vinden van manieren om het product zo te maken dat klanten het veilig zullen gebruiken." Verder worden softwareontwikkelaars opgeroepen om de hoofdoorzaak van kwetsbaarheden op te lossen en transparant te zijn in het openbaren van beveiligingslekken.