• 处于立法进程中的《2023财年国防授权法案》提出，国土安全部新签和现有政府合同，软件供应商应保证产品中不存在已知漏洞；

• 有安全专家担心，如果严格执行该项法案，美国政府后续将无法部署任何软件/服务；

• 原因有多方面：任何代码都存在漏洞，美国漏洞库的部分漏洞并非安全风险，软件提供商可能隐瞒漏洞信息，竞争对手将极力挖掘对手产品漏洞以赢得合同等。

安全内参8月22日消息，美国立法者希望立法改善政府的部分网络安全防御措施，但却引发了信息安全专家们的质疑和不满。

《2023财年国防授权法案》，对应着划拨给美国军队和政府各关键领域的数十亿美元财政预算。目前法案已经在众议院通过，接下来需要经参议院批准，最后由拜登总统签字执行。

今天要讨论的争议，集中在该法案草案看似合理的条款：管理国土安全部及其应用程序/在线服务供应链的软件级攻击风险。

这份拟议法案要求，对于新签和现有政府合同，软件供应商应保证“提交软件物料清单中列出的所有项目，均不存在影响最终产品或服务安全性的已知漏洞或缺陷，并给出证明。”

所谓“已知漏洞或缺陷”，是指美国国家标准与技术研究院（NIST）发布的国家漏洞数据库，以及网络安全与基础设施安全局（CISA）指定的用于“跟踪各开源或第三方开发软件内安全漏洞/缺陷”的数据库内列出的条目。

换句话说：国土安全部不得采购任何包含已知、已登记安全漏洞的软件。

这项要求的出发点是好的，旨在防止恶意黑客利用Log4j之类的漏洞破坏政府敏感系统。但法案中的具体措辞却令行业专家颇感沮丧。一方面，任何代码都存在bug，这一条款基本上切断了政府军工部门原本强大的采购流程。另一方面，漏洞数据库中相当一部分漏洞并不属于安全风险。

总而言之，如果严格执行该项法案，那么美国政府后续将无法部署任何软件/服务。

软件供应链安全厂商Chainguard的联合创始人兼CEO Dan Lorenc表示，“这项要求往好了说是受到误导，往坏了想肯定会引发大麻烦。”

不过，这项要求也有回旋空间。如果合同内包含“关于所列出各项安全漏洞或缺陷的缓解、修复或解决方法”，政府一方就可购买包含已知缺陷的软件。换句话说，只要可以缓解或修复措施，就不会影响各部门的正常采购。

争议过大引发行业热议

这个问题在推特上掀起了争论热潮。有人担心软件供应商为了正常向政府客户出售软件，故意对漏洞信息知情不报（不再注册CVE编号）。另一方面，各家企业在争夺合同的过程中，也可能会挖其他竞争者产品的漏洞作为“黑料”。

安全厂商Rapid7的高级政策主管Harley Lorenz Geiger律师在推文中提到，“立法者起草的条文相当于在说：要么放弃继续上报软件漏洞，要么被排除在软件投标范围之外，你们自己选。”

“这里我要提醒一句，并不是所有安全漏洞都有严重危害，或者能够/应该缓解。感谢立法者，祝好。”

漏洞协调与众测厂商Luta Security的CEO Katie Moussouris等行业专家，则呼吁安全专家们先别反应过激。她在Twitter上写道，新法案其实允许政府官员“采购那些虽包含CVE，但已有缓解方法的软件产品”，同时提醒政府方面“在部署之前必须缓解或接受这些风险”。

市场研究公司Dell"Oro Group负责网络安全的研究主管Mauricio Sanchez也在采访中提到，虽然他理解立法者们的善意动机，但在技术采购方面设置的种种要求，很可能会阻断政府的正常部署流程。

他提到，“很遗憾，这就是我们立法者的典型做法，只提要求、不讲方法。”

在Sanchez看来，这项法案的最终走向恐怕只有以下三种。

第一：立法者服软。技术游说部门等各方提出有力的反对意见，宣扬这项要求根本就无法实现（也确实无法实现），于是立法者选择删除这部分条文。

第二：做出澄清。立法者对条文“做出修正”，把这项过于理想的要求修改得更加实际。

最后：直接摆烂。立法者可能懒得费脑筋，强行出台这项新政，然后向选民们宣扬自己支持网络安全、改善美国风险水平的姿态。至于收拾这个烂摊子需要投入多少时间、精力和金钱，那就是各联邦机构和法院自己的问题了。

而且Sanchez本人的看法比较悲观。“如果让我押个宝，那我赌立法者会选择最后这条。”

参考资料：theregister.com

‍