信息來源:安全內(nèi)參
-
處于立法進(jìn)程中的《2023財(cái)年國防授權(quán)法案》提出,國土安全部新簽和現(xiàn)有政府合同,軟件供應(yīng)商應(yīng)保證產(chǎn)品中不存在已知漏洞;
-
有安全專家擔(dān)心,如果嚴(yán)格執(zhí)行該項(xiàng)法案,美國政府后續(xù)將無法部署任何軟件/服務(wù);
-
原因有多方面:任何代碼都存在漏洞,美國漏洞庫的部分漏洞并非安全風(fēng)險,軟件提供商可能隱瞞漏洞信息,競爭對手將極力挖掘?qū)κ之a(chǎn)品漏洞以贏得合同等。
前情回顧·美國網(wǎng)絡(luò)安全
安全內(nèi)參8月22日消息,美國立法者希望立法改善政府的部分網(wǎng)絡(luò)安全防御措施,但卻引發(fā)了信息安全專家們的質(zhì)疑和不滿。
《2023財(cái)年國防授權(quán)法案》,對應(yīng)著劃撥給美國軍隊(duì)和政府各關(guān)鍵領(lǐng)域的數(shù)十億美元財(cái)政預(yù)算。目前法案已經(jīng)在眾議院通過,接下來需要經(jīng)參議院批準(zhǔn),最后由拜登總統(tǒng)簽字執(zhí)行。
今天要討論的爭議,集中在該法案草案看似合理的條款:管理國土安全部及其應(yīng)用程序/在線服務(wù)供應(yīng)鏈的軟件級攻擊風(fēng)險。
這份擬議法案要求,對于新簽和現(xiàn)有政府合同,軟件供應(yīng)商應(yīng)保證“提交軟件物料清單中列出的所有項(xiàng)目,均不存在影響最終產(chǎn)品或服務(wù)安全性的已知漏洞或缺陷,并給出證明。”
所謂“已知漏洞或缺陷”,是指美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)發(fā)布的國家漏洞數(shù)據(jù)庫,以及網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)指定的用于“跟蹤各開源或第三方開發(fā)軟件內(nèi)安全漏洞/缺陷”的數(shù)據(jù)庫內(nèi)列出的條目。
換句話說:國土安全部不得采購任何包含已知、已登記安全漏洞的軟件。
這項(xiàng)要求的出發(fā)點(diǎn)是好的,旨在防止惡意黑客利用Log4j之類的漏洞破壞政府敏感系統(tǒng)。但法案中的具體措辭卻令行業(yè)專家頗感沮喪。一方面,任何代碼都存在bug,這一條款基本上切斷了政府軍工部門原本強(qiáng)大的采購流程。另一方面,漏洞數(shù)據(jù)庫中相當(dāng)一部分漏洞并不屬于安全風(fēng)險。
總而言之,如果嚴(yán)格執(zhí)行該項(xiàng)法案,那么美國政府后續(xù)將無法部署任何軟件/服務(wù)。
軟件供應(yīng)鏈安全廠商Chainguard的聯(lián)合創(chuàng)始人兼CEO Dan Lorenc表示,“這項(xiàng)要求往好了說是受到誤導(dǎo),往壞了想肯定會引發(fā)大麻煩?!?
不過,這項(xiàng)要求也有回旋空間。如果合同內(nèi)包含“關(guān)于所列出各項(xiàng)安全漏洞或缺陷的緩解、修復(fù)或解決方法”,政府一方就可購買包含已知缺陷的軟件。換句話說,只要可以緩解或修復(fù)措施,就不會影響各部門的正常采購。
爭議過大引發(fā)行業(yè)熱議
這個問題在推特上掀起了爭論熱潮。有人擔(dān)心軟件供應(yīng)商為了正常向政府客戶出售軟件,故意對漏洞信息知情不報(不再注冊CVE編號)。另一方面,各家企業(yè)在爭奪合同的過程中,也可能會挖其他競爭者產(chǎn)品的漏洞作為“黑料”。
安全廠商Rapid7的高級政策主管Harley Lorenz Geiger律師在推文中提到,“立法者起草的條文相當(dāng)于在說:要么放棄繼續(xù)上報軟件漏洞,要么被排除在軟件投標(biāo)范圍之外,你們自己選?!?
“這里我要提醒一句,并不是所有安全漏洞都有嚴(yán)重危害,或者能夠/應(yīng)該緩解。感謝立法者,祝好?!?
漏洞協(xié)調(diào)與眾測廠商Luta Security的CEO Katie Moussouris等行業(yè)專家,則呼吁安全專家們先別反應(yīng)過激。她在Twitter上寫道,新法案其實(shí)允許政府官員“采購那些雖包含CVE,但已有緩解方法的軟件產(chǎn)品”,同時提醒政府方面“在部署之前必須緩解或接受這些風(fēng)險”。
市場研究公司Dell"Oro Group負(fù)責(zé)網(wǎng)絡(luò)安全的研究主管Mauricio Sanchez也在采訪中提到,雖然他理解立法者們的善意動機(jī),但在技術(shù)采購方面設(shè)置的種種要求,很可能會阻斷政府的正常部署流程。
他提到,“很遺憾,這就是我們立法者的典型做法,只提要求、不講方法。”
在Sanchez看來,這項(xiàng)法案的最終走向恐怕只有以下三種。
第一:立法者服軟。技術(shù)游說部門等各方提出有力的反對意見,宣揚(yáng)這項(xiàng)要求根本就無法實(shí)現(xiàn)(也確實(shí)無法實(shí)現(xiàn)),于是立法者選擇刪除這部分條文。
第二:做出澄清。立法者對條文“做出修正”,把這項(xiàng)過于理想的要求修改得更加實(shí)際。
最后:直接擺爛。立法者可能懶得費(fèi)腦筋,強(qiáng)行出臺這項(xiàng)新政,然后向選民們宣揚(yáng)自己支持網(wǎng)絡(luò)安全、改善美國風(fēng)險水平的姿態(tài)。至于收拾這個爛攤子需要投入多少時間、精力和金錢,那就是各聯(lián)邦機(jī)構(gòu)和法院自己的問題了。
而且Sanchez本人的看法比較悲觀?!叭绻屛已簜€寶,那我賭立法者會選擇最后這條?!?
參考資料:theregister.com