信息來源：安全內(nèi)參

• 處于立法進(jìn)程中的《2023財(cái)年國防授權(quán)法案》提出，國土安全部新簽和現(xiàn)有政府合同，軟件供應(yīng)商應(yīng)保證產(chǎn)品中不存在已知漏洞；

• 有安全專家擔(dān)心，如果嚴(yán)格執(zhí)行該項(xiàng)法案，美國政府后續(xù)將無法部署任何軟件/服務(wù)；

• 原因有多方面：任何代碼都存在漏洞，美國漏洞庫的部分漏洞并非安全風(fēng)險(xiǎn)，軟件提供商可能隱瞞漏洞信息，競爭對(duì)手將極力挖掘?qū)κ之a(chǎn)品漏洞以贏得合同等。

前情回顧·美國網(wǎng)絡(luò)安全

• 美國白宮發(fā)布《2024年網(wǎng)絡(luò)安全預(yù)算備忘錄》

• 美國網(wǎng)絡(luò)安全審查委員會(huì)首份報(bào)告：Log4j漏洞要十余年才能修完
• 向間諜軟件開戰(zhàn)！美國國會(huì)計(jì)劃立法實(shí)施制裁

安全內(nèi)參8月22日消息，美國立法者希望立法改善政府的部分網(wǎng)絡(luò)安全防御措施，但卻引發(fā)了信息安全專家們的質(zhì)疑和不滿。

《2023財(cái)年國防授權(quán)法案》，對(duì)應(yīng)著劃撥給美國軍隊(duì)和政府各關(guān)鍵領(lǐng)域的數(shù)十億美元財(cái)政預(yù)算。目前法案已經(jīng)在眾議院通過，接下來需要經(jīng)參議院批準(zhǔn)，最后由拜登總統(tǒng)簽字執(zhí)行。

今天要討論的爭議，集中在該法案草案看似合理的條款：管理國土安全部及其應(yīng)用程序/在線服務(wù)供應(yīng)鏈的軟件級(jí)攻擊風(fēng)險(xiǎn)。

這份擬議法案要求，對(duì)于新簽和現(xiàn)有政府合同，軟件供應(yīng)商應(yīng)保證“提交軟件物料清單中列出的所有項(xiàng)目，均不存在影響最終產(chǎn)品或服務(wù)安全性的已知漏洞或缺陷，并給出證明。”

所謂“已知漏洞或缺陷”，是指美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）發(fā)布的國家漏洞數(shù)據(jù)庫，以及網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA）指定的用于“跟蹤各開源或第三方開發(fā)軟件內(nèi)安全漏洞/缺陷”的數(shù)據(jù)庫內(nèi)列出的條目。

換句話說：國土安全部不得采購任何包含已知、已登記安全漏洞的軟件。

這項(xiàng)要求的出發(fā)點(diǎn)是好的，旨在防止惡意黑客利用Log4j之類的漏洞破壞政府敏感系統(tǒng)。但法案中的具體措辭卻令行業(yè)專家頗感沮喪。一方面，任何代碼都存在bug，這一條款基本上切斷了政府軍工部門原本強(qiáng)大的采購流程。另一方面，漏洞數(shù)據(jù)庫中相當(dāng)一部分漏洞并不屬于安全風(fēng)險(xiǎn)。

總而言之，如果嚴(yán)格執(zhí)行該項(xiàng)法案，那么美國政府后續(xù)將無法部署任何軟件/服務(wù)。

軟件供應(yīng)鏈安全廠商Chainguard的聯(lián)合創(chuàng)始人兼CEO Dan Lorenc表示，“這項(xiàng)要求往好了說是受到誤導(dǎo)，往壞了想肯定會(huì)引發(fā)大麻煩。”

不過，這項(xiàng)要求也有回旋空間。如果合同內(nèi)包含“關(guān)于所列出各項(xiàng)安全漏洞或缺陷的緩解、修復(fù)或解決方法”，政府一方就可購買包含已知缺陷的軟件。換句話說，只要可以緩解或修復(fù)措施，就不會(huì)影響各部門的正常采購。

爭議過大引發(fā)行業(yè)熱議

這個(gè)問題在推特上掀起了爭論熱潮。有人擔(dān)心軟件供應(yīng)商為了正常向政府客戶出售軟件，故意對(duì)漏洞信息知情不報(bào)（不再注冊(cè)CVE編號(hào)）。另一方面，各家企業(yè)在爭奪合同的過程中，也可能會(huì)挖其他競爭者產(chǎn)品的漏洞作為“黑料”。

安全廠商Rapid7的高級(jí)政策主管Harley Lorenz Geiger律師在推文中提到，“立法者起草的條文相當(dāng)于在說：要么放棄繼續(xù)上報(bào)軟件漏洞，要么被排除在軟件投標(biāo)范圍之外，你們自己選。”

“這里我要提醒一句，并不是所有安全漏洞都有嚴(yán)重危害，或者能夠/應(yīng)該緩解。感謝立法者，祝好。”

漏洞協(xié)調(diào)與眾測廠商Luta Security的CEO Katie Moussouris等行業(yè)專家，則呼吁安全專家們先別反應(yīng)過激。她在Twitter上寫道，新法案其實(shí)允許政府官員“采購那些雖包含CVE，但已有緩解方法的軟件產(chǎn)品”，同時(shí)提醒政府方面“在部署之前必須緩解或接受這些風(fēng)險(xiǎn)”。

市場研究公司Dell"Oro Group負(fù)責(zé)網(wǎng)絡(luò)安全的研究主管Mauricio Sanchez也在采訪中提到，雖然他理解立法者們的善意動(dòng)機(jī)，但在技術(shù)采購方面設(shè)置的種種要求，很可能會(huì)阻斷政府的正常部署流程。

他提到，“很遺憾，這就是我們立法者的典型做法，只提要求、不講方法?！?

在Sanchez看來，這項(xiàng)法案的最終走向恐怕只有以下三種。

第一：立法者服軟。技術(shù)游說部門等各方提出有力的反對(duì)意見，宣揚(yáng)這項(xiàng)要求根本就無法實(shí)現(xiàn)（也確實(shí)無法實(shí)現(xiàn)），于是立法者選擇刪除這部分條文。

第二：做出澄清。立法者對(duì)條文“做出修正”，把這項(xiàng)過于理想的要求修改得更加實(shí)際。

最后：直接擺爛。立法者可能懶得費(fèi)腦筋，強(qiáng)行出臺(tái)這項(xiàng)新政，然后向選民們宣揚(yáng)自己支持網(wǎng)絡(luò)安全、改善美國風(fēng)險(xiǎn)水平的姿態(tài)。至于收拾這個(gè)爛攤子需要投入多少時(shí)間、精力和金錢，那就是各聯(lián)邦機(jī)構(gòu)和法院自己的問題了。

而且Sanchez本人的看法比較悲觀?！叭绻屛已簜€(gè)寶，那我賭立法者會(huì)選擇最后這條?！?

參考資料：theregister.com