美国：禁止向中国分享安全漏洞，微软反对无效

​大家好，我是校长。

昨天看到一条新闻，美国商务部出台新规说：未经审批禁止向中国分享安全漏洞，而微软反对无效。

事情大概是这样的：

2022 年 5 月 26 日，美国商务部工业与安全局，也就是 BIS，正式发布了针对网络安全领域的最新的出口管制规定，根据新规的要求，各实体在与 D 类国家和地区的政府相关部门或个人进行合作时，必须要提前申请，获得许可后才能跨境发送潜在网络漏洞信息。该规定将全球国家分为 A、B、D、E 四类，限制措施和严格程度逐步递增。而我们中国被分在 D 类，即「受限制国家和地区」。

也就是未经审批禁止向中国分享安全漏洞，微软等巨头抗议无效。

新规的落地代表美国实体与中国政府相关的组织和个人合作时，如果发现安全漏洞和信息，不能直接公布，需要先经过商务部审核。文件中同时指出，对代表政府行事的个人的许可要求是必要的，以防止代表 D 组国家政府行事的人因从事违反美国国家安全和外交政策利益的活动而获得「网络安全项目」。​

而微软在去年这条规定发布征求意见稿后，曾以书面意见形式提交了对这份文件的异议。微软表示，如果参与网络安全活动的个人和实体因和政府有关联而受限，将大大压制全球网络安全市场目前部署的常规网络安全活动的能力。很多时候，在无法确定对方是否和政府存在关联时，企业面对合规压力只能放弃合作。而微软此项抗议未被 BIS 同意。

当然了，微软肯定是反对的，毕竟涉及到自己的商业利益，一个是微软在卖给客户产品时，如何分辨客户是否和政府有关系呢？客户到底会用到什么地方呢？这里面很模糊，尤其是未来国企，政府单位招标的时候，由于这项新规，微软可能无法参与招标，也就无法赚钱了。​

其实，我感觉这件事，未必是坏事，有时候，自己国家技术的进步和创新需要外在环境的倒逼，就像是美国国家航天局禁止和中国航天合作一样，这反而会激发我们的斗志，现在航天事业不仅没受到影响，反而在稳步前进。

在网络安全和操作系统方面，有时候，不被别人逼一把，自己怎么会努力呢？​

提到分享安全漏洞这件事，说实话，让我想起了去年在国内技术圈反响比较强烈，甚至影响整个 Java 世界圈的一个超级大漏洞：log4J 安全漏洞。

当时是国内阿里云团队首先发现的漏洞，于 2021 年 12 月 23 日于阿里云社区通报，同时按业界惯例向软件开发方 Apache 报告该问题。此类业界惯例已构成软件开发生态的重要一环，也就是按照国际惯例，一经发现漏洞，需要向软件开发方率先通报。但是，在美国新规落地的背景下，漏洞分享机制很大可能性将遭破坏。也就是，以后大家发现漏洞，都不会主动报告了给软件开发方了，而是先报给国家审批。

所以，我感觉既然美国这样干，我们国家也得这样干，去年，阿里云没有第一时间向国家上报，而是先报给了软件开放方，为此而还受到了处罚，看来，国家还是有先见之明的。

美国这样干，是基于自己的技术优势，技术处于领先地位，所以，认为自己未来发现漏洞不分享，可以率先利用漏洞可以向其他国家使用该软件或者系统进行攻击或者窃取机密，同时，如果一旦分享给其他国家这个安全漏洞，自己修补不及时，可能会被国外其他黑客利用，攻击自己国家的系统，亦或者窃取机密。​

我感觉这发现漏洞这方面，还不一定哪个国家厉害呢？美国要这样干，其他国家发现了漏洞，以后也不分享了。那，我感觉整个互联网安全，软件生态感觉岌岌可危啊。

目前，我国各大安全厂商未雨绸缪的建立自身漏洞平台，目前已初现峥嵘，比如：

• 奇安信 – 补天漏洞响应平台：2021 年奇安信 CERT 新收录漏洞信息 21664 个，漏洞总数 904234 个;
• 奇安信 – 奇安盘古实验室：发布报告称美国国安局对中国十余年的网络恶意活动;
• 三六零 – 安全大脑漏洞云：协助苹果、谷歌、EOS 等著名厂商修复漏洞;
• 三六零：发布报告《网络战序幕：美国国安局 NSA(APT-C-40)对全球发起长达十余年无差别攻击》;
• 深信服：漏洞管理服务;
• 安恒信息 – 漏洞管理及响应平台;
• 启明星辰 – 天镜漏洞管理平台。

希望我们国家做网络安全的厂商们给力一点，另外，研发自己的操作系统，创建基于自己国家的软件生态，真的是势在必行啊。

未来的世界大战，或将不再是枪炮，而是网络安全。​