关于禁止山姆大叔购买不安全软件的法律草案的真相-VPS资讯_海外云服务器资讯_海外服务器资讯

立法者试图改善美国政府的部分网络安全防御措施，这引起了信息安全专业人士的质疑和不满。

2023 财年国防授权法案——如果获得通过，将为美国军队和政府的其他关键领域提供数十亿美元的资金——已经通过众议院，并需要参议院批准，然后乔·拜登总统才能开绿灯。 .

该法律草案包含一个看似善意的部分，关于管理国土安全部及其应用程序和在线服务供应链的软件级攻击风险。

对于新的和现有的政府合同，拟议法案要求软件供应商提供：“提交的材料清单中列出的每个项目不存在影响最终产品或服务安全性的所有已知漏洞或缺陷的证明。 “

这包括 NIST 的国家漏洞数据库或任何其他 CISA 指定的“跟踪开源或第三方开发软件中的安全漏洞和缺陷”的数据库中列出的漏洞。

换句话说：国土安全部不能购买具有任何已知的、已注册的安全漏洞的软件。

虽然这可能是为了防止不法分子利用诸如Log4j漏洞之类的东西来破坏敏感的政府系统，但该法案的措辞乍一看让一些人感到沮丧。一方面，所有代码都存在错误——因此在此基础上阻止采购将使政府的采购系统在其强大的军工轨道上停滞不前。然后是一些实际上不是安全风险的错误被错误地记录在漏洞数据库中的问题。

通过严格阅读该法案，将永远不会部署任何内容。

“这个想法充其量只是被误导，最坏的情况是即将发生的sh * tshow，” Chainguard联合创始人兼首席执行官Dan Lorenc说。

但是，有一个很大的警告。如果合同包括“与减轻、修复或解决通知中列出的每个安全漏洞或缺陷的计划有关的通知”，山姆大叔可以购买已知的漏洞软件。换句话说，如果一个 bug 可以被缓解或应该被修复，那么它就不是什么大问题。

尽管如此，该语言还是在 Twitterverse 中引发了强烈抗议，并引发了人们对软件供应商将停止报告 CVE 的担忧——或者竞争合同的公司将相互提供漏洞赏金。

“政策制定者：请停止考虑消除所有软件漏洞的要求，或禁止销售具有任何漏洞的软件，” Rapid7的高级政策主管律师 Harley Lorenz Geiger 在推特上写道。

“请理解，并非所有漏洞都很重要，或者可以或应该减轻。好的，感谢政策制定者，祝你好。”

Luta Security 首席执行官 Katie Moussouris 等其他人则敦促安全专业人员深呼吸并放松一下。她在推特上写道，该法案允许政府官员“购买已知 CVE 已得到缓解的软件”，并补充说山姆大叔“必须在部署之前缓解或接受风险”。

负责网络安全的 Dell’Oro Group 研究主管 Mauricio Sanchez 告诉The Register，虽然他认为立法者是善意的，但在购买技术方面，这种语言可能会使官员处于不可能的境地。

“不幸的是，我们立法者的典型行为是发布描述‘什么’而不是‘如何’的命令，”他说。

桑切斯说，关于国会议员，他认为这项法律法案以三种方式之一发挥作用。

一：“他们洞穴，”他说。“技术游说部门或其他人提出了一个巨大的恶臭，即这是一项站不住脚的任务（确实如此），因此立法者删除了该措辞。”

第二种选择：“他们澄清”，桑切斯指出，这涉及立法者“做正确的事”，并使授权更加实际而不是理想主义。

最后，还有第三种情况。“他们踢，”桑切斯说。“他们采取简单的方法，保持原样，然后向他们的选民声称他们支持网络安全并改善美国的姿态。这使得联邦机构和法院花费不必要的时间、精力和金钱来清理和收紧。”

他并没有太大希望。“如果我是一个赌徒，”桑切斯补充道，“我会把赌注押在第三名上。