惊！美国拟立法禁止采购有漏洞软件

美国立法者希望立法改善政府的部分网络安全防御措施，但却引发了信息安全专家们的质疑和不满。

《2023财年国防授权法案》，对应着划拨给美国军队和政府各关键领域的数十亿美元财政预算。目前法案已经在众议院通过，接下来需要经参议院批准，最后由拜登总统签字执行。

今天要讨论的争议，集中在该法案草案看似合理的条款：管理国土安全部及其应用程序/在线服务供应链的软件级攻击风险。

这份拟议法案要求，对于新签和现有政府合同，软件供应商应保证“提交软件物料清单中列出的所有项目，均不存在影响最终产品或服务安全性的已知漏洞或缺陷，并给出证明。”

所谓“已知漏洞或缺陷”，是指美国国家标准与技术研究院（NIST）发布的国家漏洞数据库，以及网络安全与基础设施安全局（CISA）指定的用于“跟踪各开源或第三方开发软件内安全漏洞/缺陷”的数据库内列出的条目。

换句话说：国土安全部不得采购任何包含已知、已登记安全漏洞的软件。

这项要求的出发点是好的，旨在防止恶意黑客利用Log4j之类的漏洞破坏政府敏感系统。但法案中的具体措辞却令行业专家颇感沮丧。一方面，任何代码都存在bug，这一条款基本上切断了政府军工部门原本强大的采购流程。另一方面，漏洞数据库中相当一部分漏洞并不属于安全风险。

总而言之，如果严格执行该项法案，那么美国政府后续将无法部署任何软件/服务。

软件供应链安全厂商Chainguard的联合创始人兼CEO Dan Lorenc表示，“这项要求往好了说是受到误导，往坏了想肯定会引发大麻烦。”

不过，这项要求也有回旋空间。如果合同内包含“关于所列出各项安全漏洞或缺陷的缓解、修复或解决方法”，政府一方就可购买包含已知缺陷的软件。换句话说，只要可以缓解或修复措施，就不会影响各部门的正常采购。