美新規：禁止向中國分享安全漏洞，我們怎么辦？

Android，iOS和PC端的Windows等等覆蓋全球用戶。除此之外蘋果、谷歌、亞馬遜、微軟等公司在開源軟件方面深耕幾十年，包括中國工業電腦廠商也大量使用來自美國的開源軟件，實現共建共享。可是美國做出新規定，禁止向中國分享安全漏洞，這意味著美國企業即便發現軟件系統存在漏洞，安全問題，也不能分享給中國客戶，除非獲得許可。這條新規遭到了微軟的強烈反對，如果新規實施，美企和中企誰的影響更大？

中國和美國企業在操作系統軟件市場有深入的合作，大部分的手機廠商都使用開源的安卓系統，普通用戶入手新電腦必定會安裝Windows操作系統。在開發者層面，經常會用上Apache軟件基金會的組件，為中國開發者廠商參與開源軟件項目提供極大便利。

越多人使用這些操作系統，開源軟件項目，對美企的好處就越大。不僅能豐富生態產品，而且對完善系統優化也起到至關重要的作用。共建共享是建立在互惠互利的基礎上，雙方都能受益，沒有理由將優秀的軟件產品排除在外，這也促使許多中企在美國軟件系統的生態下發展壯大?？墒敲绹鴤鞒鱿?，發布新規禁止在未經審批的情況下，向中國分享安全漏洞。也就是說，一旦美企在軟件系統發現了安全漏洞，必須先獲得許可，才能分享。至于能不能拿到許可，就不得而知了。如果是以前，美企發現漏洞會按照正常的流程向中企客戶提供信息，確保中企客戶能夠在第一時間修復漏洞?；蛘呙榔筇峁┭a丁，及時將漏洞給補上。可是現在，發現漏洞他們也不會管，想管也未必管不了。到時候只能通過中企自行發現了，如果沒有發現，并且被海外開發者有意利用漏洞鉆空子，誰能保證不會發生網絡安全事故。

就在美國發布新規后，微軟站了出來表示反對，并不希望這條新規落地執行。從微軟的反對態度來看，其實就能看出新規對誰的影響更大了。微軟眾多軟件系統生態產品遍布全球，為了解決潛在的漏洞，微軟將會給予發現漏洞者很大的獎勵。同時在漏洞分享機制的作用下，開發者也會向微軟提交漏洞，幫助微軟更好地提升產品體驗。如果美國限制漏洞分享，那開發者，用戶們也未必會向微軟提交漏洞報告了。畢竟分享安全漏洞是相互的，不可能在限制向用戶分享漏洞的同時，還指望用戶們盡心盡力提交漏洞報告。有些時候不是美企率先發現漏洞，而是中企及時向對方回報漏洞情況，才避免事態的進一步擴大。

就像2021年12月份，阿里云發現了阿帕奇 Apache Log4j2 組件存在非常大的漏洞，如果不及時處理，這項漏洞可能會造成設備被遠程控制，服務中斷等危險。這項漏洞一度讓國內外的互聯網公司嚴陣以待，由此可見如果沒有阿里云的及時報告，也許會產生嚴重的后果。但是阿里云首先通報的是阿帕奇軟件基金會，而非工信部，這也導致阿里云被工信部停止合作半年。距事件過去正好已經半年了，估計阿里云很快就能回到原來的合作狀態。通過阿里云的這項漏洞分享事件，可以清晰看出中企對美企完善網絡信息安全是有重要作用的。因此新規對美企的影響會更大，中國有這么多的軟件廠商，國產軟件操作系統開發實力已經躋身一流。