美國商務(wù)部周三提交了新的出口限制禁令，將未公開的軟件漏洞視為潛在武器。此舉旨在減少安全行業(yè)為敵對(duì)國家提供的可能幫助。但是很多安全研究人員表示，美國商務(wù)部的出口限制禁令可能無法遏制黑市，同時(shí)阻礙跨境合作和國防產(chǎn)品銷售。

商務(wù)部的禁令中覆蓋所謂的“零日漏洞”(zero-day)以及軟件開發(fā)商也不了解的安全漏洞。“零日漏洞”又叫零時(shí)差攻擊，是指被發(fā)現(xiàn)后立即被惡意利用的安全漏洞。

黑客與國防承包商經(jīng)常向政府機(jī)構(gòu)或軟件開發(fā)商出售有關(guān)此類漏洞的信息，美國內(nèi)部銷售則可以繼續(xù)。但是在未經(jīng)特別許可的情況下，“零日漏洞”及其支持能力的銷售在美國、英國、加拿大、澳大利亞以及新西蘭之外將被禁止。

美國安全廠商N(yùn)etragard的首席執(zhí)行官阿德瑞爾·德斯特爾斯(Adriel Desautels)說：“在某種程度上，我認(rèn)為實(shí)行‘零日漏洞’經(jīng)紀(jì)人許可制度是個(gè)好主意，可以預(yù)防美國人向伊朗出售軟件漏洞信息，某種形式的授權(quán)或監(jiān)管十分有用。但是監(jiān)管可能對(duì)安全行業(yè)整體存在潛在損害，這是個(gè)不折不扣的蠢主意。”

美國商務(wù)部的禁令是2013年41國簽署的協(xié)議的補(bǔ)充，即某些滲透性軟件也應(yīng)該成為監(jiān)管對(duì)象，就像核武器和化學(xué)武器零部件一樣。多名研究人員稱，美國大國防承包商正尋找或花錢購買軟件漏洞，然后將其賣給情報(bào)機(jī)構(gòu)、軍方以及執(zhí)法機(jī)構(gòu)，他們很容易就可招募到律師，獲得某些海外銷售授權(quán)。

但中小型安全公司、獨(dú)立研究人員更有可能跨境出售相關(guān)軟件漏洞信息，很多信息甚至?xí)淙敕缸锓肿邮种小ｉT研究“零日漏洞”市場(chǎng)的蘭德公司安全專家莉莉安·阿布隆(Lillian Ablon)說：“這有可能對(duì)我們?nèi)绾芜M(jìn)行弱點(diǎn)研究以及保護(hù)我們的系統(tǒng)產(chǎn)生重大影響。如果我們限制尋找漏洞的白帽黑客的能力，只會(huì)令壞人作惡更容易。”

盡管開源軟件和科學(xué)研究可享有豁免權(quán)，但是如果商務(wù)部禁令被采用，將對(duì)軟件漏洞以及利用它們的工具的合法市場(chǎng)產(chǎn)生重大影響，因?yàn)檫@些市場(chǎng)剛剛進(jìn)入開放和成熟期。

更多公司近來開始付費(fèi)購買“漏洞紅利”，對(duì)那些在他們的產(chǎn)品中發(fā)現(xiàn)安全漏洞的研究人員予以重獎(jiǎng)，而不是驅(qū)使他們將漏洞賣給政府或黑客。多家初創(chuàng)企業(yè)甚至已經(jīng)開發(fā)出新的職業(yè)化“報(bào)告-回報(bào)”系統(tǒng)，更小型公司都可從中獲益。

獲得風(fēng)險(xiǎn)投資支持的初創(chuàng)企業(yè)HackerOne首席策略官凱蒂·穆索瑞斯 (Katie Moussouris) 稱，將來，海外公司可能不得不向研究人員提供現(xiàn)金獎(jiǎng)勵(lì)和指導(dǎo)，以獲得出口授權(quán)，確保他們自己的程序更加安全。(風(fēng)帆)