处于立法进程中的《2023财年国防授权法案》提出,国土安全部新签和现有政府合同,软件供应商应保证产品中不存在已知漏洞;
有安全专家担心,如果严格执行该项法案,那么美国政府后续将无法部署任何软件/服务;
原因有多方面:任何代码都存在漏洞,美国漏洞库的部分漏洞并非安全风险,软件提供商可能隐瞒漏洞信息,竞争对手将极力挖掘对手产品漏洞以赢得合同等。
美国立法者希望立法改善政府的部分网络安全防御措施,但却引发了信息安全专家们的质疑和不满。
《2023财年国防授权法案》,对应着划拨给美国军队和政府各关键领域的数十亿美元财政预算。目前法案已经在众议院通过,接下来需要经参议院批准,最后由拜登总统签字执行。
今天要讨论的争议,集中在该法案草案看似合理的条款:管理国土安全部及其应用程序/在线服务供应链的软件级攻击风险。
这份拟议法案要求,对于新签和现有政府合同,软件供应商应保证“提交软件物料清单中列出的所有项目,均不存在影响最终产品或服务安全性的已知漏洞或缺陷,并给出证明。”
所谓“已知漏洞或缺陷”,是指美国国家标准与技术研究院(NIST)发布的国家漏洞数据库,以及网络安全与基础设施安全局(CISA)指定的用于“跟踪各开源或第三方开发软件内安全漏洞/缺陷”的数据库内列出的条目。
换句话说:国土安全部不得采购任何包含已知、已登记安全漏洞的软件。
这项要求的出发点是好的,旨在防止恶意黑客利用Log4j之类的漏洞破坏政府敏感系统。但法案中的具体措辞却令行业专家颇感沮丧。一方面,任何代码都存在bug,这一条款基本上切断了政府军工部门原本强大的采购流程。另一方面,漏洞数据库中相当一部分漏洞并不属于安全风险。
总而言之,如果严格执行该项法案,那么美国政府后续将无法部署任何软件/服务。
软件供应链安全厂商Chainguard的联合创始人兼CEO Dan Lorenc表示,“这项要求往好了说是受到误导,往坏了想肯定会引发大麻烦。”
不过,这项要求也有回旋空间。如果合同内包含“关于所列出各项安全漏洞或缺陷的缓解、修复或解决方法”,政府一方就可购买包含已知缺陷的软件。换句话说,只要可以缓解或修复措施,就不会影响各部门的正常采购。
争议过大引发行业热议
来源:安全内参
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...