美新规:禁止向中国分享安全漏洞,我们怎么办?
Android,iOS和PC端的Windows等等覆盖全球用户。除此之外苹果、谷歌、亚马逊、微软等公司在开源软件方面深耕几十年,包括中国工业电脑厂商也大量使用来自美国的开源软件,实现共建共享。可是美国做出新规定,禁止向中国分享安全漏洞,这意味着美国企业即便发现软件系统存在漏洞,安全问题,也不能分享给中国客户,除非获得许可。这条新规遭到了微软的强烈反对,如果新规实施,美企和中企谁的影响更大?
中国和美国企业在操作系统软件市场有深入的合作,大部分的手机厂商都使用开源的安卓系统,普通用户入手新电脑必定会安装Windows操作系统。在开发者层面,经常会用上Apache软件基金会的组件,为中国开发者厂商参与开源软件项目提供极大便利。
越多人使用这些操作系统,开源软件项目,对美企的好处就越大。不仅能丰富生态产品,而且对完善系统优化也起到至关重要的作用。共建共享是建立在互惠互利的基础上,双方都能受益,没有理由将优秀的软件产品排除在外,这也促使许多中企在美国软件系统的生态下发展壮大。可是美国传出消息,发布新规禁止在未经审批的情况下,向中国分享安全漏洞。也就是说,一旦美企在软件系统发现了安全漏洞,必须先获得许可,才能分享。至于能不能拿到许可,就不得而知了。如果是以前,美企发现漏洞会按照正常的流程向中企客户提供信息,确保中企客户能够在第一时间修复漏洞。或者美企提供补丁,及时将漏洞给补上。可是现在,发现漏洞他们也不会管,想管也未必管不了。到时候只能通过中企自行发现了,如果没有发现,并且被海外开发者有意利用漏洞钻空子,谁能保证不会发生网络安全事故。
就在美国发布新规后,微软站了出来表示反对,并不希望这条新规落地执行。从微软的反对态度来看,其实就能看出新规对谁的影响更大了。微软众多软件系统生态产品遍布全球,为了解决潜在的漏洞,微软将会给予发现漏洞者很大的奖励。同时在漏洞分享机制的作用下,开发者也会向微软提交漏洞,帮助微软更好地提升产品体验。如果美国限制漏洞分享,那开发者,用户们也未必会向微软提交漏洞报告了。毕竟分享安全漏洞是相互的,不可能在限制向用户分享漏洞的同时,还指望用户们尽心尽力提交漏洞报告。有些时候不是美企率先发现漏洞,而是中企及时向对方回报漏洞情况,才避免事态的进一步扩大。
就像2021年12月份,阿里云发现了阿帕奇 Apache Log4j2 组件存在非常大的漏洞,如果不及时处理,这项漏洞可能会造成设备被远程控制,服务中断等危险。这项漏洞一度让国内外的互联网公司严阵以待,由此可见如果没有阿里云的及时报告,也许会产生严重的后果。但是阿里云首先通报的是阿帕奇软件基金会,而非工信部,这也导致阿里云被工信部停止合作半年。距事件过去正好已经半年了,估计阿里云很快就能回到原来的合作状态。通过阿里云的这项漏洞分享事件,可以清晰看出中企对美企完善网络信息安全是有重要作用的。因此新规对美企的影响会更大,中国有这么多的软件厂商,国产软件操作系统开发实力已经跻身一流。