?大家好，我是校長(zhǎng)。

昨天看到一條新聞，美國(guó)商務(wù)部出臺(tái)新規(guī)說(shuō)：未經(jīng)審批禁止向中國(guó)分享安全漏洞，而微軟反對(duì)無(wú)效。

事情大概是這樣的：

2022 年 5 月 26 日，美國(guó)商務(wù)部工業(yè)與安全局，也就是 BIS，正式發(fā)布了針對(duì)網(wǎng)絡(luò)安全領(lǐng)域的最新的出口管制規(guī)定，根據(jù)新規(guī)的要求，各實(shí)體在與 D 類(lèi)國(guó)家和地區(qū)的政府相關(guān)部門(mén)或個(gè)人進(jìn)行合作時(shí)，必須要提前申請(qǐng)，獲得許可后才能跨境發(fā)送潛在網(wǎng)絡(luò)漏洞信息。該規(guī)定將全球國(guó)家分為 A、B、D、E 四類(lèi)，限制措施和嚴(yán)格程度逐步遞增。而我們中國(guó)被分在 D 類(lèi)，即「受限制國(guó)家和地區(qū)」。

也就是未經(jīng)審批禁止向中國(guó)分享安全漏洞，微軟等巨頭抗議無(wú)效。

新規(guī)的落地代表美國(guó)實(shí)體與中國(guó)政府相關(guān)的組織和個(gè)人合作時(shí)，如果發(fā)現(xiàn)安全漏洞和信息，不能直接公布，需要先經(jīng)過(guò)商務(wù)部審核。文件中同時(shí)指出，對(duì)代表政府行事的個(gè)人的許可要求是必要的，以防止代表 D 組國(guó)家政府行事的人因從事違反美國(guó)國(guó)家安全和外交政策利益的活動(dòng)而獲得「網(wǎng)絡(luò)安全項(xiàng)目」。?

而微軟在去年這條規(guī)定發(fā)布征求意見(jiàn)稿后，曾以書(shū)面意見(jiàn)形式提交了對(duì)這份文件的異議。微軟表示，如果參與網(wǎng)絡(luò)安全活動(dòng)的個(gè)人和實(shí)體因和政府有關(guān)聯(lián)而受限，將大大壓制全球網(wǎng)絡(luò)安全市場(chǎng)目前部署的常規(guī)網(wǎng)絡(luò)安全活動(dòng)的能力。很多時(shí)候，在無(wú)法確定對(duì)方是否和政府存在關(guān)聯(lián)時(shí)，企業(yè)面對(duì)合規(guī)壓力只能放棄合作。而微軟此項(xiàng)抗議未被 BIS 同意。

當(dāng)然了，微軟肯定是反對(duì)的，畢竟涉及到自己的商業(yè)利益，一個(gè)是微軟在賣(mài)給客戶(hù)產(chǎn)品時(shí)，如何分辨客戶(hù)是否和政府有關(guān)系呢？客戶(hù)到底會(huì)用到什么地方呢？這里面很模糊，尤其是未來(lái)國(guó)企，政府單位招標(biāo)的時(shí)候，由于這項(xiàng)新規(guī)，微軟可能無(wú)法參與招標(biāo)，也就無(wú)法賺錢(qián)了。?

其實(shí)，我感覺(jué)這件事，未必是壞事，有時(shí)候，自己國(guó)家技術(shù)的進(jìn)步和創(chuàng)新需要外在環(huán)境的倒逼，就像是美國(guó)國(guó)家航天局禁止和中國(guó)航天合作一樣，這反而會(huì)激發(fā)我們的斗志，現(xiàn)在航天事業(yè)不僅沒(méi)受到影響，反而在穩(wěn)步前進(jìn)。

在網(wǎng)絡(luò)安全和操作系統(tǒng)方面，有時(shí)候，不被別人逼一把，自己怎么會(huì)努力呢？?

提到分享安全漏洞這件事，說(shuō)實(shí)話，讓我想起了去年在國(guó)內(nèi)技術(shù)圈反響比較強(qiáng)烈，甚至影響整個(gè) Java 世界圈的一個(gè)超級(jí)大漏洞：log4J 安全漏洞。

當(dāng)時(shí)是國(guó)內(nèi)阿里云團(tuán)隊(duì)首先發(fā)現(xiàn)的漏洞，于 2021 年 12 月 23 日于阿里云社區(qū)通報(bào)，同時(shí)按業(yè)界慣例向軟件開(kāi)發(fā)方 Apache 報(bào)告該問(wèn)題。此類(lèi)業(yè)界慣例已構(gòu)成軟件開(kāi)發(fā)生態(tài)的重要一環(huán)，也就是按照國(guó)際慣例，一經(jīng)發(fā)現(xiàn)漏洞，需要向軟件開(kāi)發(fā)方率先通報(bào)。但是，在美國(guó)新規(guī)落地的背景下，漏洞分享機(jī)制很大可能性將遭破壞。也就是，以后大家發(fā)現(xiàn)漏洞，都不會(huì)主動(dòng)報(bào)告了給軟件開(kāi)發(fā)方了，而是先報(bào)給國(guó)家審批。

所以，我感覺(jué)既然美國(guó)這樣干，我們國(guó)家也得這樣干，去年，阿里云沒(méi)有第一時(shí)間向國(guó)家上報(bào)，而是先報(bào)給了軟件開(kāi)放方，為此而還受到了處罰，看來(lái)，國(guó)家還是有先見(jiàn)之明的。

美國(guó)這樣干，是基于自己的技術(shù)優(yōu)勢(shì)，技術(shù)處于領(lǐng)先地位，所以，認(rèn)為自己未來(lái)發(fā)現(xiàn)漏洞不分享，可以率先利用漏洞可以向其他國(guó)家使用該軟件或者系統(tǒng)進(jìn)行攻擊或者竊取機(jī)密，同時(shí)，如果一旦分享給其他國(guó)家這個(gè)安全漏洞，自己修補(bǔ)不及時(shí)，可能會(huì)被國(guó)外其他黑客利用，攻擊自己國(guó)家的系統(tǒng)，亦或者竊取機(jī)密。?

我感覺(jué)這發(fā)現(xiàn)漏洞這方面，還不一定哪個(gè)國(guó)家厲害呢？美國(guó)要這樣干，其他國(guó)家發(fā)現(xiàn)了漏洞，以后也不分享了。那，我感覺(jué)整個(gè)互聯(lián)網(wǎng)安全，軟件生態(tài)感覺(jué)岌岌可危啊。

目前，我國(guó)各大安全廠商未雨綢繆的建立自身漏洞平臺(tái)，目前已初現(xiàn)崢嶸，比如：

• 奇安信 - 補(bǔ)天漏洞響應(yīng)平臺(tái)：2021 年奇安信 CERT 新收錄漏洞信息 21664 個(gè)，漏洞總數(shù) 904234 個(gè);
• 奇安信 - 奇安盤(pán)古實(shí)驗(yàn)室：發(fā)布報(bào)告稱(chēng)美國(guó)國(guó)安局對(duì)中國(guó)十余年的網(wǎng)絡(luò)惡意活動(dòng);
• 三六零 - 安全大腦漏洞云：協(xié)助蘋(píng)果、谷歌、EOS 等著名廠商修復(fù)漏洞;
• 三六零：發(fā)布報(bào)告《網(wǎng)絡(luò)戰(zhàn)序幕：美國(guó)國(guó)安局 NSA(APT-C-40)對(duì)全球發(fā)起長(zhǎng)達(dá)十余年無(wú)差別攻擊》;
• 深信服：漏洞管理服務(wù);
• 安恒信息 - 漏洞管理及響應(yīng)平臺(tái);
• 啟明星辰 - 天鏡漏洞管理平臺(tái)。

希望我們國(guó)家做網(wǎng)絡(luò)安全的廠商們給力一點(diǎn)，另外，研發(fā)自己的操作系統(tǒng)，創(chuàng)建基于自己國(guó)家的軟件生態(tài)，真的是勢(shì)在必行啊。

未來(lái)的世界大戰(zhàn)，或?qū)⒉辉偈菢屌?，而是網(wǎng)絡(luò)安全。?