据美国政府公报网站《联邦公报》5月26日消息，美国商务部工业和安全局（下简称“BIS”）发布《信息安全控制：网络安全物项》（No. 220520-0118）。

根据该规定，出于所谓国家安全和反恐需要，美国实体（如互联网企业）与中国政府相关的组织和个人就网络安全漏洞合作时，要先经过美国商务部审核。按照相关的数据信息显示，老美宣布没有经过相关审批禁止向中国分享安全的漏洞。

简单点来说，老美并不允许常规的网络安全活动的能力和中国市场有任何的关联，这是变相的在“制裁”中国的网络安全领域。

从某种程度上来说，这应该是领域范围内的中企应该感到着急的事情。毕竟这是对于网络安全领域的一个新的管制规定，在网络安全的漏洞不能被及时公布的时候，我们无法在第一时间完美的解决问题。而一旦老美一直都不审批通过，相当于我们会一直陷于这样的漏洞风险当中。在新规征求意见阶段，微软就提出异议，但未被美国当局采纳。

1、美限制共享安全漏洞

微软的Windows操作系统占据全球90%的PC市场，虽然各国基于Linux研发定制化操作系统，但在生态影响力方面和微软有着巨大的差距。

微软Windows操作系统生态能成功崛起，不仅是产品做得好，也是得到了来自全球开发者，用户的支持。经过微软一代又一代的系统完善，如今已经升级到Windows 11系统版本。

但是在这之后，微软升级，改善系统可能就没有那么顺利了。因为微软或将“断供”中国市场，限制向中国市场提供安全漏洞信息。

根据美国发布的新规显示，如果要向48个国家分享网络安全漏洞等信息，美企需要先申请并获得许可。

中国也在这48个国家地区当中，说明美国将限制微软，谷歌等美企提供安全漏洞。

这样的规则显然是不合理的。产品是美国企业研发的，有必要向客户提交安全漏洞信息，确保客户使用产品不会受到影响。结果现在不管客户是否会遇上产品问题，完全放弃售后。如果是这样的态度，恐怕不会有多少人愿意继续使用这些产品服务了。

可关键在于美企的软件产品遍布全球，微软的Windows操作系统就是很多消费者无法避开的。

又有大量的软件厂商在Windows操作系统上开发应用程序，如果因为微软的问题让系统出现漏洞，而且还没有告知客户消费者，自己藏着掖着限制共享安全漏洞，对提高微软的系统完善度是绝对没有好处的。

正所谓当局者迷旁观者清，一款APP开发完成之后会有专门的人进行bug测试，程序员在开发的时候未必能发现漏洞所在。站在旁观者的角度更能够找出问题所在。要是没有这些人的测试反馈，这款APP肯定会漏洞百出。

道理大家都懂，微软也明白限制向中国分享安全漏洞的影响。所以在美国发出这项新规之后，微软就持反对意见。可是微软的反对有用吗？

2、微软反对规则，有用吗？

不向客户分享安全漏洞并不是微软的意愿，这对微软来说没有任何好处。软件产业不同于硬件市场，是需要开发者，用户们一起参与生态建设的。

微软负责系统开发，客户市场负责提供产品反馈，让微软将Windows操作系统做得更好。如果没有这些用户的反馈，导致Windows越来越差。

那么市场上的很多操作系统就会逐步动摇微软的地位，包括苹果的Mac OS，中国操作系统厂商的银河麒麟，统信软件等等都有可能做得比Windows更好。试想一下，用户会选择漏洞百出的系统产品，还是各方面体验都不错的其它操作系统，答案显而易见。

不过微软的反对影响力是有限的，上面的人并没有采纳微软的意见。因为对他们来说，微软的一些意见想法远不如其它事情来得重要。所以微软只能选择顺着这条路往前走，是否有更多的选择完全得看上面的人意见。

其实不只是微软，谷歌、亚马逊、苹果等美企基本上也是如此，这些软件产业巨头的服务遍布世界的每一个角落，客户数以亿计。

苹果，谷歌都有数千万的开发者，至少有几百万开发者身处美国限制分享安全漏洞的48个国家地区当中。美企不能提供安全漏洞分享，自然也不会获得这些国家开发者的漏洞报告，最终的结果就是美企和国外的漏洞分享隔离。

3、Windows发布补丁若受限，中国如何提升网络安全？

四川质量发展研究院高级研究员熊节6月6日在接受观察者网采访时表示，美国商务部新规和之前的“实体清单”其实是一以贯之的。拿微软来举例，以前一直有“安全补丁包”的说法，Windows系统和Office软件通过不断打补丁包的形式来完善自己的服务。

补丁包就是一种新的服务贸易形态，可以说：以前美国的制裁和管控没有怎么关注这个方面，现在把这种服贸形态给放进经济制裁的范畴里面来了。

在传统意义上，互联网被人们视为公共场所，它是一种公共品。其发展过程中产生了不歧视、平等对待、自由开放的互联网精神。与此同时，对于什么是“安全的软件”，大家也有长期的讨论。

像IBM（国际商用机器公司）这样的大公司会说，我提供给你的就是安全的。但在自由软件社区、开源社区和黑客社区，人们会认为，一款安全的软件，会有无数双眼睛来盯着它，其能力比这些大公司的产品更强，同时还不会留下后门或营私舞弊的空间。在黑客社区，这也形成了发现漏洞，并且将其（有偿）提供给厂商帮助修复，最终实现保护用户目的的“白帽子”社区。

但是在如今的地缘政治环境下，新的问题产生了：这种行为该怎么定性？

与开源社区团队类似，从事网络安全工作的人们在发现漏洞后，也会以一种网络协作的方式来处理。BIS新规下同样的问题是：那么这种协作属于什么性质？显然，BIS的规定，对于微软这样的巨头也好，对于从事网络安全的个人或者组织也罢，都会带来一系列现实的问题。

熊节特别指出一种隐患，在软件产品采购过程中，很多买方会认为，我向一家公司买的东西，这家公司会完全具备它的知识产权。

但是现实可能让人大跌眼镜：很多软件系统都是从开源社区中获得的，其供应链依赖几千上万个开源项目，如果某一开源软件某天发生了更新，那么整个软件系统也会自动跟着更新。如果没有对开源供应链进行专门监控，甲方和乙方都无法掌控整个过程。

在熊节看来，在当前的国际地缘环境下，特别是美国BIS出台上述新规的背景下。网络安全对于中国显得尤为重要，特别是很有必要对现有开源生态进行升级。

“我们需要打造一个更负责的、更可追踪的、更可回溯责任的开源系统，”熊节认为，同时，从事开源供应链咨询、审核并提供相关工具技术的人才也要形成一个生态产业。在基础设施、机制、人员和服务的合力下，共建“安全的供应链”。

主要来源：商业经济观察，观察者网，皮狗谈科技