美國或立法（fǎ）迫使科技公司披露外國政府軟件（jiàn）評估活動

美（měi）國參議院人士向路透社透露，根據一項最新立法提案，倘（tǎng）若美國科技公（gōng）司允許俄（é）羅斯和中國等敵對國評估（gū）其銷售（shòu）給美國軍方的軟件工作，這些公司就必須披露相關（guān）信息。

該（gāi）議案獲得美國參議院軍事委員會的支持，而在此之前（qián），路透社經（jīng）過長達一年的調查後發（fā）現，軟件廠商允許一家俄羅斯國防機構查找（zhǎo）其軟件的漏洞，而這些軟件（jiàn）早已深度滲（shèn）透到美國最（zuì）敏感的政府部門，包括五角大樓、聯（lián）邦調（diào）查局和情報（bào）機構。

安全專家表示（shì），允許俄羅斯政府對內部軟件結構（源（yuán）代（dài）碼）展開（kāi）評估（gū），可以幫助俄（é）羅（luó）斯找到漏洞，使之更容易對美國的關鍵保護係統發動攻擊。

美國（guó）民主黨（dǎng）參（cān）議員珍妮·沙西恩（Jeanne Shaheen）表示，這項（xiàng）新的源代碼披露規則包含在參議院（yuàn）版的《國（guó）防（fáng）授權法案》中（zhōng）。

該議案的細節尚未公開（kāi），但（dàn）已（yǐ）經獲得（dé）參議院（yuàn）軍事（shì）委員會25-2的投（tóu）票通過。最終的立法仍然需要參議院全體投票，並（bìng）且要與眾議院版的提案一致，才（cái）能（néng）最終交（jiāo）由美國總統特朗普簽字生效。

沙西恩表示，倘若立法提案（àn）最終獲得通過（guò），就（jiù）會要求與美國軍方有業務（wù）往來（lái）的公（gōng）司披露敵對國對其軟件展開的任何源（yuán）代碼評估行為。如（rú）果五角大（dà）樓認為源代（dài）碼評估存在風險，軍（jun1）方和軟件公司需要就如何控製相關（guān）威脅達成（chéng）一致。

外國政府的源代碼評估細節以（yǐ）及相關企業為緩解風險而同意采取的措施，都將存儲在美軍高官可（kě）以訪問的數據庫中。對多數產品而言，這類（lèi）措施僅適用於美國方麵認為對其網絡安全構成威脅的國家，例如俄（é）羅斯和中國。

沙西恩一直（zhí）都是美國國會（huì）在網（wǎng）絡安全方麵的重要意見領（lǐng）袖。這位（wèi）來自新罕布（bù）什爾州的參（cān）議員去年成（chéng）功領導國會出（chū）台一項禁令，禁（jìn）止所（suǒ）有美國（guó）政府部門使用（yòng）俄羅斯殺毒軟件公司卡巴斯基實驗室提供的軟件，原因是後（hòu）者被控與（yǔ）俄羅斯情報機構存在聯（lián）係。但卡巴斯基否認（rèn）存在這種聯係。

路透社的調查發現，為了進入俄羅斯市場，包括惠普、SAP和McAfee在內的科技（jì）公司都（dōu）允許俄羅斯國防部（bù）門查找其軟件源代碼的漏洞。在很多情況下，軟件公司之前並未（wèi）將此事告知俄羅（luó）斯政府。事實上，美國軍方多數情況下都不會在購買軟件之前提出同樣的源（yuán）代碼評估要求。

這些公司（sī）稱，上述源（yuán）代碼評估是由俄羅斯在相應的公司控製的設施中開展的，所以評估人員無法複製或修改源代碼。

McAfee去年還發表聲明稱，該公司已經不再允許政府的源代碼評估（gū）行為。惠普企業公（gōng）司也曾表示（shì），其現有的（de）軟件均未經過這樣的評估程（chéng）序。