美国或立法迫使科技公司披露外国政府软件评估活动

美国参议院人士向路透社透露，根据一项最新立法提案，倘若美国科技公司允许俄罗斯和中国等敌对国评估其销售给美国军方的软件工作，这些公司就必须披露相关信息。

该议案获得美国参议院军事委员会的支持，而在此之前，路透社经过长达一年的调查后发现，软件厂商允许一家俄罗斯国防机构查找其软件的漏洞，而这些软件早已深度渗透到美国最敏感的政府部门，包括五角大楼、联邦调查局和情报机构。

安全专家表示，允许俄罗斯政府对内部软件结构（源代码）展开评估，可以帮助俄罗斯找到漏洞，使之更容易对美国的关键保护系统发动攻击。

美国民主党参议员珍妮·沙西恩（Jeanne Shaheen）表示，这项新的源代码披露规则包含在参议院版的《国防授权法案》中。

该议案的细节尚未公开，但已经获得参议院军事委员会25-2的投票通过。最终的立法仍然需要参议院全体投票，并且要与众议院版的提案一致，才能最终交由美国总统特朗普签字生效。

沙西恩表示，倘若立法提案最终获得通过，就会要求与美国军方有业务往来的公司披露敌对国对其软件展开的任何源代码评估行为。如果五角大楼认为源代码评估存在风险，军方和软件公司需要就如何控制相关威胁达成一致。

外国政府的源代码评估细节以及相关企业为缓解风险而同意采取的措施，都将存储在美军高官可以访问的数据库中。对多数产品而言，这类措施仅适用于美国方面认为对其网络安全构成威胁的国家，例如俄罗斯和中国。

沙西恩一直都是美国国会在网络安全方面的重要意见领袖。这位来自新罕布什尔州的参议员去年成功领导国会出台一项禁令，禁止所有美国政府部门使用俄罗斯杀毒软件公司卡巴斯基实验室提供的软件，原因是后者被控与俄罗斯情报机构存在联系。但卡巴斯基否认存在这种联系。

路透社的调查发现，为了进入俄罗斯市场，包括惠普、SAP和McAfee在内的科技公司都允许俄罗斯国防部门查找其软件源代码的漏洞。在很多情况下，软件公司之前并未将此事告知俄罗斯政府。事实上，美国军方多数情况下都不会在购买软件之前提出同样的源代码评估要求。

这些公司称，上述源代码评估是由俄罗斯在相应的公司控制的设施中开展的，所以评估人员无法复制或修改源代码。

McAfee去年还发表声明称，该公司已经不再允许政府的源代码评估行为。惠普企业公司也曾表示，其现有的软件均未经过这样的评估程序。