美新規(guī)：禁止向中國分享安全漏洞，我們怎么辦？

Android，iOS和PC端的Windows等等覆蓋全球用戶。除此之外蘋果、谷歌、亞馬遜、微軟等公司在開源軟件方面深耕幾十年，包括中國工業(yè)電腦廠商也大量使用來自美國的開源軟件，實現(xiàn)共建共享?？墒敲绹龀鲂乱?guī)定，禁止向中國分享安全漏洞，這意味著美國企業(yè)即便發(fā)現(xiàn)軟件系統(tǒng)存在漏洞，安全問題，也不能分享給中國客戶，除非獲得許可。這條新規(guī)遭到了微軟的強烈反對，如果新規(guī)實施，美企和中企誰的影響更大？

中國和美國企業(yè)在操作系統(tǒng)軟件市場有深入的合作，大部分的手機廠商都使用開源的安卓系統(tǒng)，普通用戶入手新電腦必定會安裝Windows操作系統(tǒng)。在開發(fā)者層面，經(jīng)常會用上Apache軟件基金會的組件，為中國開發(fā)者廠商參與開源軟件項目提供極大便利。

越多人使用這些操作系統(tǒng)，開源軟件項目，對美企的好處就越大。不僅能豐富生態(tài)產(chǎn)品，而且對完善系統(tǒng)優(yōu)化也起到至關(guān)重要的作用。共建共享是建立在互惠互利的基礎(chǔ)上，雙方都能受益，沒有理由將優(yōu)秀的軟件產(chǎn)品排除在外，這也促使許多中企在美國軟件系統(tǒng)的生態(tài)下發(fā)展壯大?？墒敲绹鴤鞒鱿ⅲl(fā)布新規(guī)禁止在未經(jīng)審批的情況下，向中國分享安全漏洞。也就是說，一旦美企在軟件系統(tǒng)發(fā)現(xiàn)了安全漏洞，必須先獲得許可，才能分享。至于能不能拿到許可，就不得而知了。如果是以前，美企發(fā)現(xiàn)漏洞會按照正常的流程向中企客戶提供信息，確保中企客戶能夠在第一時間修復(fù)漏洞。或者美企提供補丁，及時將漏洞給補上?？墒乾F(xiàn)在，發(fā)現(xiàn)漏洞他們也不會管，想管也未必管不了。到時候只能通過中企自行發(fā)現(xiàn)了，如果沒有發(fā)現(xiàn)，并且被海外開發(fā)者有意利用漏洞鉆空子，誰能保證不會發(fā)生網(wǎng)絡(luò)安全事故。

就在美國發(fā)布新規(guī)后，微軟站了出來表示反對，并不希望這條新規(guī)落地執(zhí)行。從微軟的反對態(tài)度來看，其實就能看出新規(guī)對誰的影響更大了。微軟眾多軟件系統(tǒng)生態(tài)產(chǎn)品遍布全球，為了解決潛在的漏洞，微軟將會給予發(fā)現(xiàn)漏洞者很大的獎勵。同時在漏洞分享機制的作用下，開發(fā)者也會向微軟提交漏洞，幫助微軟更好地提升產(chǎn)品體驗。如果美國限制漏洞分享，那開發(fā)者，用戶們也未必會向微軟提交漏洞報告了。畢竟分享安全漏洞是相互的，不可能在限制向用戶分享漏洞的同時，還指望用戶們盡心盡力提交漏洞報告。有些時候不是美企率先發(fā)現(xiàn)漏洞，而是中企及時向?qū)Ψ交貓舐┒辞闆r，才避免事態(tài)的進一步擴大。

就像2021年12月份，阿里云發(fā)現(xiàn)了阿帕奇 Apache Log4j2 組件存在非常大的漏洞，如果不及時處理，這項漏洞可能會造成設(shè)備被遠程控制，服務(wù)中斷等危險。這項漏洞一度讓國內(nèi)外的互聯(lián)網(wǎng)公司嚴陣以待，由此可見如果沒有阿里云的及時報告，也許會產(chǎn)生嚴重的后果。但是阿里云首先通報的是阿帕奇軟件基金會，而非工信部，這也導(dǎo)致阿里云被工信部停止合作半年。距事件過去正好已經(jīng)半年了，估計阿里云很快就能回到原來的合作狀態(tài)。通過阿里云的這項漏洞分享事件，可以清晰看出中企對美企完善網(wǎng)絡(luò)信息安全是有重要作用的。因此新規(guī)對美企的影響會更大，中國有這么多的軟件廠商，國產(chǎn)軟件操作系統(tǒng)開發(fā)實力已經(jīng)躋身一流。