美新規(guī)：禁止向中國(guó)分享安全漏洞，我們?cè)趺崔k？

Android，iOS和PC端的Windows等等覆蓋全球用戶。除此之外蘋(píng)果、谷歌、亞馬遜、微軟等公司在開(kāi)源軟件方面深耕幾十年，包括中國(guó)工業(yè)電腦廠商也大量使用來(lái)自美國(guó)的開(kāi)源軟件，實(shí)現(xiàn)共建共享。可是美國(guó)做出新規(guī)定，禁止向中國(guó)分享安全漏洞，這意味著美國(guó)企業(yè)即便發(fā)現(xiàn)軟件系統(tǒng)存在漏洞，安全問(wèn)題，也不能分享給中國(guó)客戶，除非獲得許可。這條新規(guī)遭到了微軟的強(qiáng)烈反對(duì)，如果新規(guī)實(shí)施，美企和中企誰(shuí)的影響更大？

中國(guó)和美國(guó)企業(yè)在操作系統(tǒng)軟件市場(chǎng)有深入的合作，大部分的手機(jī)廠商都使用開(kāi)源的安卓系統(tǒng)，普通用戶入手新電腦必定會(huì)安裝Windows操作系統(tǒng)。在開(kāi)發(fā)者層面，經(jīng)常會(huì)用上Apache軟件基金會(huì)的組件，為中國(guó)開(kāi)發(fā)者廠商參與開(kāi)源軟件項(xiàng)目提供極大便利。

越多人使用這些操作系統(tǒng)，開(kāi)源軟件項(xiàng)目，對(duì)美企的好處就越大。不僅能豐富生態(tài)產(chǎn)品，而且對(duì)完善系統(tǒng)優(yōu)化也起到至關(guān)重要的作用。共建共享是建立在互惠互利的基礎(chǔ)上，雙方都能受益，沒(méi)有理由將優(yōu)秀的軟件產(chǎn)品排除在外，這也促使許多中企在美國(guó)軟件系統(tǒng)的生態(tài)下發(fā)展壯大?？墒敲绹?guó)傳出消息，發(fā)布新規(guī)禁止在未經(jīng)審批的情況下，向中國(guó)分享安全漏洞。也就是說(shuō)，一旦美企在軟件系統(tǒng)發(fā)現(xiàn)了安全漏洞，必須先獲得許可，才能分享。至于能不能拿到許可，就不得而知了。如果是以前，美企發(fā)現(xiàn)漏洞會(huì)按照正常的流程向中企客戶提供信息，確保中企客戶能夠在第一時(shí)間修復(fù)漏洞。或者美企提供補(bǔ)丁，及時(shí)將漏洞給補(bǔ)上?？墒乾F(xiàn)在，發(fā)現(xiàn)漏洞他們也不會(huì)管，想管也未必管不了。到時(shí)候只能通過(guò)中企自行發(fā)現(xiàn)了，如果沒(méi)有發(fā)現(xiàn)，并且被海外開(kāi)發(fā)者有意利用漏洞鉆空子，誰(shuí)能保證不會(huì)發(fā)生網(wǎng)絡(luò)安全事故。

就在美國(guó)發(fā)布新規(guī)后，微軟站了出來(lái)表示反對(duì)，并不希望這條新規(guī)落地執(zhí)行。從微軟的反對(duì)態(tài)度來(lái)看，其實(shí)就能看出新規(guī)對(duì)誰(shuí)的影響更大了。微軟眾多軟件系統(tǒng)生態(tài)產(chǎn)品遍布全球，為了解決潛在的漏洞，微軟將會(huì)給予發(fā)現(xiàn)漏洞者很大的獎(jiǎng)勵(lì)。同時(shí)在漏洞分享機(jī)制的作用下，開(kāi)發(fā)者也會(huì)向微軟提交漏洞，幫助微軟更好地提升產(chǎn)品體驗(yàn)。如果美國(guó)限制漏洞分享，那開(kāi)發(fā)者，用戶們也未必會(huì)向微軟提交漏洞報(bào)告了。畢竟分享安全漏洞是相互的，不可能在限制向用戶分享漏洞的同時(shí)，還指望用戶們盡心盡力提交漏洞報(bào)告。有些時(shí)候不是美企率先發(fā)現(xiàn)漏洞，而是中企及時(shí)向?qū)Ψ交貓?bào)漏洞情況，才避免事態(tài)的進(jìn)一步擴(kuò)大。

就像2021年12月份，阿里云發(fā)現(xiàn)了阿帕奇 Apache Log4j2 組件存在非常大的漏洞，如果不及時(shí)處理，這項(xiàng)漏洞可能會(huì)造成設(shè)備被遠(yuǎn)程控制，服務(wù)中斷等危險(xiǎn)。這項(xiàng)漏洞一度讓國(guó)內(nèi)外的互聯(lián)網(wǎng)公司嚴(yán)陣以待，由此可見(jiàn)如果沒(méi)有阿里云的及時(shí)報(bào)告，也許會(huì)產(chǎn)生嚴(yán)重的后果。但是阿里云首先通報(bào)的是阿帕奇軟件基金會(huì)，而非工信部，這也導(dǎo)致阿里云被工信部停止合作半年。距事件過(guò)去正好已經(jīng)半年了，估計(jì)阿里云很快就能回到原來(lái)的合作狀態(tài)。通過(guò)阿里云的這項(xiàng)漏洞分享事件，可以清晰看出中企對(duì)美企完善網(wǎng)絡(luò)信息安全是有重要作用的。因此新規(guī)對(duì)美企的影響會(huì)更大，中國(guó)有這么多的軟件廠商，國(guó)產(chǎn)軟件操作系統(tǒng)開(kāi)發(fā)實(shí)力已經(jīng)躋身一流。