北京时间8月2日上午消息,美国国会正向总统唐纳德·特朗普提出一项立法,即要求科技公司披露其是否允许其它国家检查出售给美国军方的软件内部运作情况。
该立法为五角大楼支出法案的一部分。去年路透社一名调查人员发现软件制造商允许俄罗斯国防机构寻找一些美国政府机构(包括五角大楼和情报机构等)所使用的软件中的漏洞。这件事发生之后,政府即起草了该法案。
法案的最终版本上周通过众议院批准后又于周三以87-10的投票获得参议院的通过。特朗普签字后这项支出法案即可生效。一旦生效,这项法律将强制美国和国外的科技公司向五角大楼披露相关信息,即他们是否允许网络对手(如俄罗斯等)调查出售给美国军方的软件。
公司将被要求解决国外源代码审查所带来的任何安全风险,直至五角大楼满意,否则将失去合同。
安全专家表示允许俄罗斯当局调查软件的内部运作情况,即源代码,可以帮助莫斯科方面发现他们可以加以利用来攻击美国政府系统的漏洞。
新的法规由新罕布什尔州民主党参议院珍妮·沙辛(Jeanne Shaheen)起草。“这一强制披露只是个开头,也是减少联邦并购过程中的关键安全漏洞的必要一步,”沙辛在邮件中写道。“国防部和其他联邦机构必须了解国外源代码的风险暴露以及其他可能使我们国家安全系统易受攻击的风险性商业行为。”
该立法还创建了一个可允许其他政府机构进行搜索的数据库,其中罗列了受其它国家检查且五角大楼认为存在网络安全风险的软件。
法律规定公开记录请求可以搜索该数据库,对一个可能涵盖公司机密的系统来说这个做法很不寻常。
行业组织软件联盟的政策高级主管汤米·罗斯(Tommy Ross)称,软件公司十分担心这样的立法可能迫使公司在美国和国外市场之间做出选择。他说,“我们观察这样一个全球担忧趋势,关注网络威胁的公司普遍认为减少风险的最佳操作就是减少海外市场。”
一名五角大楼女发言人拒绝予以置评。
路透社去年的调查发现,为了进入俄罗斯市场,包括惠普、SAP和迈克菲在内的科技公司都允许俄罗斯国防机构搜索软件源代码查找漏洞。而在大多数情况下,这些软件公司并未通知美国机构相关事项。另外,在多数情况下,采购专家表示,美国军方在采购软件之前并不要求类似的源代码审查。
迈克菲去年宣布公司不再允许政府审核源代码。惠普也表示目前没有软件需要走这一流程。SAP未对该立法作出评论回应。惠普和迈克菲拒绝进一步评论。(小白)
声明:本文来自新浪科技,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。