美新规：禁止向中国分享安全漏洞，我们怎么办？

美新规：禁止向中国分享安全漏洞，我们怎么办？

Android，iOS和PC端的Windows等等覆盖全球用户。除此之外苹果、谷歌、亚马逊、微软等公司在开源软件方面深耕几十年，包括中国工业电脑厂商也大量使用来自美国的开源软件，实现共建共享。可是美国做出新规定，禁止向中国分享安全漏洞，这意味着美国企业即便发现软件系统存在漏洞，安全问题，也不能分享给中国客户，除非获得许可。这条新规遭到了微软的强烈反对，如果新规实施，美企和中企谁的影响更大？

中国和美国企业在操作系统软件市场有深入的合作，大部分的手机厂商都使用开源的安卓系统，普通用户入手新电脑必定会安装Windows操作系统。在开发者层面，经常会用上Apache软件基金会的组件，为中国开发者厂商参与开源软件项目提供极大便利。

越多人使用这些操作系统，开源软件项目，对美企的好处就越大。不仅能丰富生态产品，而且对完善系统优化也起到至关重要的作用。共建共享是建立在互惠互利的基础上，双方都能受益，没有理由将优秀的软件产品排除在外，这也促使许多中企在美国软件系统的生态下发展壮大。可是美国传出消息，发布新规禁止在未经审批的情况下，向中国分享安全漏洞。也就是说，一旦美企在软件系统发现了安全漏洞，必须先获得许可，才能分享。至于能不能拿到许可，就不得而知了。如果是以前，美企发现漏洞会按照正常的流程向中企客户提供信息，确保中企客户能够在第一时间修复漏洞。或者美企提供补丁，及时将漏洞给补上。可是现在，发现漏洞他们也不会管，想管也未必管不了。到时候只能通过中企自行发现了，如果没有发现，并且被海外开发者有意利用漏洞钻空子，谁能保证不会发生网络安全事故。

就在美国发布新规后，微软站了出来表示反对，并不希望这条新规落地执行。从微软的反对态度来看，其实就能看出新规对谁的影响更大了。微软众多软件系统生态产品遍布全球，为了解决潜在的漏洞，微软将会给予发现漏洞者很大的奖励。同时在漏洞分享机制的作用下，开发者也会向微软提交漏洞，帮助微软更好地提升产品体验。如果美国限制漏洞分享，那开发者，用户们也未必会向微软提交漏洞报告了。毕竟分享安全漏洞是相互的，不可能在限制向用户分享漏洞的同时，还指望用户们尽心尽力提交漏洞报告。有些时候不是美企率先发现漏洞，而是中企及时向对方回报漏洞情况，才避免事态的进一步扩大。

就像2021年12月份，阿里云发现了阿帕奇 Apache Log4j2 组件存在非常大的漏洞，如果不及时处理，这项漏洞可能会造成设备被远程控制，服务中断等危险。这项漏洞一度让国内外的互联网公司严阵以待，由此可见如果没有阿里云的及时报告，也许会产生严重的后果。但是阿里云首先通报的是阿帕奇软件基金会，而非工信部，这也导致阿里云被工信部停止合作半年。距事件过去正好已经半年了，估计阿里云很快就能回到原来的合作状态。通过阿里云的这项漏洞分享事件，可以清晰看出中企对美企完善网络信息安全是有重要作用的。因此新规对美企的影响会更大，中国有这么多的软件厂商，国产软件操作系统开发实力已经跻身一流。