?大家好，我是校長。

昨天看到一條新聞，美國商務部出臺新規說：未經審批禁止向中國分享安全漏洞，而微軟反對無效。

事情大概是這樣的：

2022 年 5 月 26 日，美國商務部工業與安全局，也就是 BIS，正式發布了針對網絡安全領域的最新的出口管制規定，根據新規的要求，各實體在與 D 類國家和地區的政府相關部門或個人進行合作時，必須要提前申請，獲得許可后才能跨境發送潛在網絡漏洞信息。該規定將全球國家分為 A、B、D、E 四類，限制措施和嚴格程度逐步遞增。而我們中國被分在 D 類，即「受限制國家和地區」。

也就是未經審批禁止向中國分享安全漏洞，微軟等巨頭抗議無效。

新規的落地代表美國實體與中國政府相關的組織和個人合作時，如果發現安全漏洞和信息，不能直接公布，需要先經過商務部審核。文件中同時指出，對代表政府行事的個人的許可要求是必要的，以防止代表 D 組國家政府行事的人因從事違反美國國家安全和外交政策利益的活動而獲得「網絡安全項目」。?

而微軟在去年這條規定發布征求意見稿后，曾以書面意見形式提交了對這份文件的異議。微軟表示，如果參與網絡安全活動的個人和實體因和政府有關聯而受限，將大大壓制全球網絡安全市場目前部署的常規網絡安全活動的能力。很多時候，在無法確定對方是否和政府存在關聯時，企業面對合規壓力只能放棄合作。而微軟此項抗議未被 BIS 同意。

當然了，微軟肯定是反對的，畢竟涉及到自己的商業利益，一個是微軟在賣給客戶產品時，如何分辨客戶是否和政府有關系呢？客戶到底會用到什么地方呢？這里面很模糊，尤其是未來國企，政府單位招標的時候，由于這項新規，微軟可能無法參與招標，也就無法賺錢了。?

其實，我感覺這件事，未必是壞事，有時候，自己國家技術的進步和創新需要外在環境的倒逼，就像是美國國家航天局禁止和中國航天合作一樣，這反而會激發我們的斗志，現在航天事業不僅沒受到影響，反而在穩步前進。

在網絡安全和操作系統方面，有時候，不被別人逼一把，自己怎么會努力呢？?

提到分享安全漏洞這件事，說實話，讓我想起了去年在國內技術圈反響比較強烈，甚至影響整個 Java 世界圈的一個超級大漏洞：log4J 安全漏洞。

當時是國內阿里云團隊首先發現的漏洞，于 2021 年 12 月 23 日于阿里云社區通報，同時按業界慣例向軟件開發方 Apache 報告該問題。此類業界慣例已構成軟件開發生態的重要一環，也就是按照國際慣例，一經發現漏洞，需要向軟件開發方率先通報。但是，在美國新規落地的背景下，漏洞分享機制很大可能性將遭破壞。也就是，以后大家發現漏洞，都不會主動報告了給軟件開發方了，而是先報給國家審批。

所以，我感覺既然美國這樣干，我們國家也得這樣干，去年，阿里云沒有第一時間向國家上報，而是先報給了軟件開放方，為此而還受到了處罰，看來，國家還是有先見之明的。

美國這樣干，是基于自己的技術優勢，技術處于領先地位，所以，認為自己未來發現漏洞不分享，可以率先利用漏洞可以向其他國家使用該軟件或者系統進行攻擊或者竊取機密，同時，如果一旦分享給其他國家這個安全漏洞，自己修補不及時，可能會被國外其他黑客利用，攻擊自己國家的系統，亦或者竊取機密。?

我感覺這發現漏洞這方面，還不一定哪個國家厲害呢？美國要這樣干，其他國家發現了漏洞，以后也不分享了。那，我感覺整個互聯網安全，軟件生態感覺岌岌可危啊。

目前，我國各大安全廠商未雨綢繆的建立自身漏洞平臺，目前已初現崢嶸，比如：

• 奇安信 - 補天漏洞響應平臺：2021 年奇安信 CERT 新收錄漏洞信息 21664 個，漏洞總數 904234 個;
• 奇安信 - 奇安盤古實驗室：發布報告稱美國國安局對中國十余年的網絡惡意活動;
• 三六零 - 安全大腦漏洞云：協助蘋果、谷歌、EOS 等著名廠商修復漏洞;
• 三六零：發布報告《網絡戰序幕：美國國安局 NSA(APT-C-40)對全球發起長達十余年無差別攻擊》;
• 深信服：漏洞管理服務;
• 安恒信息 - 漏洞管理及響應平臺;
• 啟明星辰 - 天鏡漏洞管理平臺。

希望我們國家做網絡安全的廠商們給力一點，另外，研發自己的操作系統，創建基于自己國家的軟件生態，真的是勢在必行啊。

未來的世界大戰，或將不再是槍炮，而是網絡安全。?