信息來(lái)源:安全內(nèi)參
-
處于立法進(jìn)程中的《2023財(cái)年國(guó)防授權(quán)法案》提出,國(guó)土安全部新簽和現(xiàn)有政府合同,軟件供應(yīng)商應(yīng)保證產(chǎn)品中不存在已知漏洞;
-
有安全專家擔(dān)心,如果嚴(yán)格執(zhí)行該項(xiàng)法案,美國(guó)政府后續(xù)將無(wú)法部署任何軟件/服務(wù);
-
原因有多方面:任何代碼都存在漏洞,美國(guó)漏洞庫(kù)的部分漏洞并非安全風(fēng)險(xiǎn),軟件提供商可能隱瞞漏洞信息,競(jìng)爭(zhēng)對(duì)手將極力挖掘?qū)κ之a(chǎn)品漏洞以贏得合同等。
前情回顧·美國(guó)網(wǎng)絡(luò)安全
安全內(nèi)參8月22日消息,美國(guó)立法者希望立法改善政府的部分網(wǎng)絡(luò)安全防御措施,但卻引發(fā)了信息安全專家們的質(zhì)疑和不滿。
《2023財(cái)年國(guó)防授權(quán)法案》,對(duì)應(yīng)著劃撥給美國(guó)軍隊(duì)和政府各關(guān)鍵領(lǐng)域的數(shù)十億美元財(cái)政預(yù)算。目前法案已經(jīng)在眾議院通過,接下來(lái)需要經(jīng)參議院批準(zhǔn),最后由拜登總統(tǒng)簽字執(zhí)行。
今天要討論的爭(zhēng)議,集中在該法案草案看似合理的條款:管理國(guó)土安全部及其應(yīng)用程序/在線服務(wù)供應(yīng)鏈的軟件級(jí)攻擊風(fēng)險(xiǎn)。
這份擬議法案要求,對(duì)于新簽和現(xiàn)有政府合同,軟件供應(yīng)商應(yīng)保證“提交軟件物料清單中列出的所有項(xiàng)目,均不存在影響最終產(chǎn)品或服務(wù)安全性的已知漏洞或缺陷,并給出證明?!?
所謂“已知漏洞或缺陷”,是指美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)發(fā)布的國(guó)家漏洞數(shù)據(jù)庫(kù),以及網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)指定的用于“跟蹤各開源或第三方開發(fā)軟件內(nèi)安全漏洞/缺陷”的數(shù)據(jù)庫(kù)內(nèi)列出的條目。
換句話說(shuō):國(guó)土安全部不得采購(gòu)任何包含已知、已登記安全漏洞的軟件。
這項(xiàng)要求的出發(fā)點(diǎn)是好的,旨在防止惡意黑客利用Log4j之類的漏洞破壞政府敏感系統(tǒng)。但法案中的具體措辭卻令行業(yè)專家頗感沮喪。一方面,任何代碼都存在bug,這一條款基本上切斷了政府軍工部門原本強(qiáng)大的采購(gòu)流程。另一方面,漏洞數(shù)據(jù)庫(kù)中相當(dāng)一部分漏洞并不屬于安全風(fēng)險(xiǎn)。
總而言之,如果嚴(yán)格執(zhí)行該項(xiàng)法案,那么美國(guó)政府后續(xù)將無(wú)法部署任何軟件/服務(wù)。
軟件供應(yīng)鏈安全廠商Chainguard的聯(lián)合創(chuàng)始人兼CEO Dan Lorenc表示,“這項(xiàng)要求往好了說(shuō)是受到誤導(dǎo),往壞了想肯定會(huì)引發(fā)大麻煩。”
不過,這項(xiàng)要求也有回旋空間。如果合同內(nèi)包含“關(guān)于所列出各項(xiàng)安全漏洞或缺陷的緩解、修復(fù)或解決方法”,政府一方就可購(gòu)買包含已知缺陷的軟件。換句話說(shuō),只要可以緩解或修復(fù)措施,就不會(huì)影響各部門的正常采購(gòu)。
爭(zhēng)議過大引發(fā)行業(yè)熱議
這個(gè)問題在推特上掀起了爭(zhēng)論熱潮。有人擔(dān)心軟件供應(yīng)商為了正常向政府客戶出售軟件,故意對(duì)漏洞信息知情不報(bào)(不再注冊(cè)CVE編號(hào))。另一方面,各家企業(yè)在爭(zhēng)奪合同的過程中,也可能會(huì)挖其他競(jìng)爭(zhēng)者產(chǎn)品的漏洞作為“黑料”。
安全廠商Rapid7的高級(jí)政策主管Harley Lorenz Geiger律師在推文中提到,“立法者起草的條文相當(dāng)于在說(shuō):要么放棄繼續(xù)上報(bào)軟件漏洞,要么被排除在軟件投標(biāo)范圍之外,你們自己選。”
“這里我要提醒一句,并不是所有安全漏洞都有嚴(yán)重危害,或者能夠/應(yīng)該緩解。感謝立法者,祝好。”
漏洞協(xié)調(diào)與眾測(cè)廠商Luta Security的CEO Katie Moussouris等行業(yè)專家,則呼吁安全專家們先別反應(yīng)過激。她在Twitter上寫道,新法案其實(shí)允許政府官員“采購(gòu)那些雖包含CVE,但已有緩解方法的軟件產(chǎn)品”,同時(shí)提醒政府方面“在部署之前必須緩解或接受這些風(fēng)險(xiǎn)”。
市場(chǎng)研究公司Dell"Oro Group負(fù)責(zé)網(wǎng)絡(luò)安全的研究主管Mauricio Sanchez也在采訪中提到,雖然他理解立法者們的善意動(dòng)機(jī),但在技術(shù)采購(gòu)方面設(shè)置的種種要求,很可能會(huì)阻斷政府的正常部署流程。
他提到,“很遺憾,這就是我們立法者的典型做法,只提要求、不講方法。”
在Sanchez看來(lái),這項(xiàng)法案的最終走向恐怕只有以下三種。
第一:立法者服軟。技術(shù)游說(shuō)部門等各方提出有力的反對(duì)意見,宣揚(yáng)這項(xiàng)要求根本就無(wú)法實(shí)現(xiàn)(也確實(shí)無(wú)法實(shí)現(xiàn)),于是立法者選擇刪除這部分條文。
第二:做出澄清。立法者對(duì)條文“做出修正”,把這項(xiàng)過于理想的要求修改得更加實(shí)際。
最后:直接擺爛。立法者可能懶得費(fèi)腦筋,強(qiáng)行出臺(tái)這項(xiàng)新政,然后向選民們宣揚(yáng)自己支持網(wǎng)絡(luò)安全、改善美國(guó)風(fēng)險(xiǎn)水平的姿態(tài)。至于收拾這個(gè)爛攤子需要投入多少時(shí)間、精力和金錢,那就是各聯(lián)邦機(jī)構(gòu)和法院自己的問題了。
而且Sanchez本人的看法比較悲觀。“如果讓我押個(gè)寶,那我賭立法者會(huì)選擇最后這條。”
參考資料:theregister.com