其他
美国拟立法禁止采购有漏洞软件,“引爆”网络安全行业
关注我们
带你读懂网络安全
处于立法进程中的《2023财年国防授权法案》提出,国土安全部新签和现有政府合同,软件供应商应保证产品中不存在已知漏洞;
有安全专家担心,如果严格执行该项法案,那么美国政府后续将无法部署任何软件/服务;
原因有多方面:任何代码都存在漏洞,美国漏洞库的部分漏洞并非安全风险,软件提供商可能隐瞒漏洞信息,竞争对手将极力挖掘对手产品漏洞以赢得合同等。
前情回顾·美国网络安全
争议过大引发行业热议
这个问题在推特上掀起了争论热潮。有人担心软件供应商为了正常向政府客户出售软件,故意对漏洞信息知情不报(不再注册CVE编号)。另一方面,各家企业在争夺合同的过程中,也可能会挖其他竞争者产品的漏洞作为“黑料”。安全厂商Rapid7的高级政策主管Harley Lorenz Geiger律师在推文中提到,“立法者起草的条文相当于在说:要么放弃继续上报软件漏洞,要么被排除在软件投标范围之外,你们自己选。”“这里我要提醒一句,并不是所有安全漏洞都有严重危害,或者能够/应该缓解。感谢立法者,祝好。”漏洞协调与众测厂商Luta Security的CEO Katie Moussouris等行业专家,则呼吁安全专家们先别反应过激。她在Twitter上写道,新法案其实允许政府官员“采购那些虽包含CVE,但已有缓解方法的软件产品”,同时提醒政府方面“在部署之前必须缓解或接受这些风险”。市场研究公司Dell'Oro Group负责网络安全的研究主管Mauricio Sanchez也在采访中提到,虽然他理解立法者们的善意动机,但在技术采购方面设置的种种要求,很可能会阻断政府的正常部署流程。他提到,“很遗憾,这就是我们立法者的典型做法,只提要求、不讲方法。”在Sanchez看来,这项法案的最终走向恐怕只有以下三种。第一:立法者服软。技术游说部门等各方提出有力的反对意见,宣扬这项要求根本就无法实现(也确实无法实现),于是立法者选择删除这部分条文。第二:做出澄清。立法者对条文“做出修正”,把这项过于理想的要求修改得更加实际。最后:直接摆烂。立法者可能懒得费脑筋,强行出台这项新政,然后向选民们宣扬自己支持网络安全、改善美国风险水平的姿态。至于收拾这个烂摊子需要投入多少时间、精力和金钱,那就是各联邦机构和法院自己的问题了。而且Sanchez本人的看法比较悲观。“如果让我押个宝,那我赌立法者会选择最后这条。”
参考资料:theregister.com
推荐阅读