美媒：法律草案禁止山姆大叔购买不安全软件的真相

议员们试图改善美国政府的一些网络安全防御措施，这引起了信息安全专业人士的质疑和不满。

2023财年国防授权法案已经在众议院通过，需要参议院批准，然后总统乔·拜登才能批准。该法案如果通过，将为美国军方和政府的其他关键领域提供数十亿美元的资金。

该法律草案包含一个看似善意的章节，内容是管理国土安全部及其应用程序和在线服务供应链遭受软件级攻击的风险。

关于新的和现有的政府合同，拟议的法案要求软件供应商提供:“证明提交的材料清单中列出的每一项不存在影响最终产品或服务安全的所有已知漏洞或缺陷。”

这包括NIST国家漏洞数据库或任何其他CISA指定的数据库中列出的漏洞，这些数据库“跟踪开源或第三方开发的软件中的安全漏洞和缺陷”

换句话说，国土安全部不能购买任何已知和注册的存在安全缺陷的软件。

虽然这可能是为了防止犯罪分子利用Log4j bug之类的东西来危害敏感的政府系统，但该法案的措辞让一些人第一眼就感到沮丧。一方面，所有的法典都有漏洞——因此，在此基础上封杀采购，会让政府的采购体系停止在强大的军事轨道上。然后就是一些错误的问题。这些错误其实并不是安全风险，而是误登录了漏洞数据库。

严格阅读法案，什么都不会部署。

Chainguard的联合创始人兼首席执行官丹·洛伦茨(Dan Lorenc)认为:“这种想法往好里说是被误导了，往坏里说是即将到来的时装秀。”。

但是，有一个很大的警告。如果合同中包含“与缓解、修复或解决通知中列出的每个安全漏洞或缺陷的计划相关的通知”，山姆大叔可以购买已知的缺陷软件。换句话说，如果一个缺陷可以被减轻或者将要被修复，它就不是一个停止信号。

然而，这种语言在Twitter上引起了强烈抗议，并引发了人们的担忧，即软件供应商将停止报告CVE，或者竞争合同的公司将因漏洞而相互奖励。

“政策制定者:请停止考虑消除所有软件漏洞的要求，或者禁止销售有任何漏洞的软件，”Rapid7高级政策主管律师哈雷·洛伦茨·盖格(Harley Lorenz Geiger)在推特上写道。

“请理解，并非所有的漏洞都很严重，或者能够或应该被缓解。好的，谢谢决策者，好好聊。”

如Luta Security的首席执行官Katie Moussouris，敦促安全专业人员深呼吸和放松。该法案允许政府官员“购买已知CVE缓解措施的软件，”她在推特上写道，并补充说，山姆大叔“必须在部署前缓解或接受风险”

戴尔奥罗集团负责网络安全的研究总监毛里西奥·桑切斯（Mauricio Sanchez）对《登记册》表示，尽管他相信立法者的用意是好的，但在购买技术方面，这种语言可能会让官员处于不可能的境地。

“不幸的是，我们立法者的典型行为是发布描述‘什么’而不是‘如何’的授权，”他说。

桑切斯说，他认为这项法律法案对国会议员来说是三种方式之一。

第一个：“他们在山洞里，”他说。“技术游说机构或其他人发出了巨大的恶臭，认为这是一项无法维持的授权（事实如此），因此立法者删除了该措辞。”

第二种选择是：“他们澄清”，桑切斯指出，这涉及立法者“做正确的事情”，使授权更加实际，而不是理想化。

最后，还有第三种情况。桑切斯说：“他们在玩平底船。”。“他们走简单的路，保持现状，然后向选民宣称他们支持网络安全，改善美国的态势。这让联邦机构和法院不得不花费不必要的时间、精力和金钱来清理和收紧。”

他不太乐观。“如果我是个赌徒，”桑切斯补充道，“我会把赌注押在第三位。

来源：慕MYTH