美國會參議院軍事委員會周四(5月24日)通過一項法案,要求美國科技企業必須披露源代碼是否被外國政府使用。

根據通過的《國防授權法》(也叫美國國防部的支出法案)草案內容,要求美國科技企業必須披露,他們是否允許中共或俄羅斯等與美國存在利益對立關係的國家檢查其軟件的內部運行情況,這些軟件同時也出售給美國軍方。

周四,參議院以25比2票通過該草案。路透社在經過一年調查後發現,美軟件企業允許俄羅斯國防部門在他們出售的軟件上尋找漏洞,而這些軟件也應用在美國政府的一些最敏感部門,譬如美國國防部、聯邦調查局(FBI)以及情報部門。

報道引用安全專家的話說,美企允許俄羅斯當局檢查這些內部軟件指令(即源代碼),可能幫助俄羅斯找到漏洞、攻擊美國的關鍵敏感系統。

這並非危言聳聽。3月,《金融時報》報道說,中共間諜機構要求中國黑客向安全部或涉事公司報告其發現的漏洞。同時,也要求本國黑客不能出席全球公開的黑客大賽。

這類黑客大賽的設立宗旨是讓全球軟件供應商可在漏洞遭網絡犯罪份子利用前進行修補。據網絡安全公司FireEye稱,谷歌(Google)、蘋果(Apple)、微軟(Microsoft)等美國跨國科技公司的一些漏洞是由中國黑客發現的。

民主黨參議員夏亨(Jeanne Shaheen)在周四的一份聲明中說,美科技公司有責任幫助保護聯邦軟件系統。

「國防部和其它聯邦機構應當了解合作企業海外業務存在的潛在弱點。」夏亨說,法案條款要求對此類信息進行披露,並「最終進行早應開展的改革來幫助國防部抵禦網絡攻擊」。

如果法案最終通過,將要求與美國軍方開展業務的美國公司披露海外合作方進行的所有軟件源代碼檢查。如果美國國防部認為某個源代碼檢查存在風險,軍方官員和軟件公司需要就如何控制威脅達成一致,例如可能涉及到將軟件使用範圍限制在非保密級環境等。

《國防授權法》法案下一步將送參院全體投票,並與眾院版本的類似法案統一後,交由特朗普總統簽署成為法律。