軟件公司是否應對安全漏洞負責？——《華爾街日報》

拜登政府呼籲軟件公司承擔更多責任，確保其產品不會被黑客入侵。插圖：喬恩·克勞斯軟件行業是否需要採取更多措施來保護其產品免受黑客攻擊？

拜登政府認為是這樣。作為3月份發佈的國家網絡安全戰略的一部分，它呼籲軟件公司承擔更多責任，確保其產品不會被黑客入侵，並表示將支持立法，如果它們沒有采取合理措施保護其產品，將追究其責任。

該戰略的支持者表示，軟件公司在經濟上有動力快速將產品推向市場，而不是優先考慮安全性，因此僅靠市場力量並不總是足以保護關鍵系統的安全。他們説，大多數軟件漏洞在產品上市後才會被發現，這使得消費者為糟糕的網絡安全買單。

反對者反駁説，對軟件製造商因產品不安全而追究責任對防止網絡攻擊幾乎沒有作用，而且可能弊大於利。他們説，行業只會將這些成本轉嫁給客户，並放慢創新速度以保護自己。

2021年6月至2023年2月擔任美國國家網絡總監的克里斯·英格利斯提出了將更多網絡安全責任轉移到軟件公司身上的理由。信息技術與創新基金會副總裁兼ITIF數據創新中心主任丹尼爾·卡斯特羅則對此提出反對意見。

是的：遵循交通運輸業模式

作者：克里斯·英格利斯

克里斯·英格利斯插圖：華爾街日報試想一下，如果購買和操作汽車遵循我們目前購買日常生活必需的計算機和軟件的模式。車輛安全氣囊、安全帶和防抱死制動系統等故障的責任將落在消費者而非汽車製造商身上，更不用説設計和運營安全可靠的高速公路運輸系統的責任了。

這當然是一個荒謬的想法，但它突顯了當今網絡環境中默認的荒謬做法，即終端用户比開發和製造產品的行業承擔更多的網絡安全負擔。隨着技術在我們的日常生活中變得越來越重要，網絡攻擊成為一個持續且不斷增長的威脅，我們不能再允許那些構建我們數字基礎的人將安全和可靠性視為可有可無的優先事項。

遵循在交通運輸系統中成功實現物理安全的模式，美國於三月份發佈的《國家網絡安全戰略》旨在通過激勵和責任分配相結合的方式，在網絡空間中“重新平衡責任”，將其轉移給最有能力和條件大規模承擔責任的開發者和製造商。

儘管事故頻發，美國軟件行業並未受到任何專門指導消費技術安全的法律約束。雖然一些消費者保護法適用，但它們並未針對軟件帶來的獨特挑戰進行調整，其執行機構也不專注於安全和保障。這導致科技公司在應對安全漏洞時反應遲緩，發佈存在重大缺陷的產品，或未能就與其產品相關的風險提供充分警告。

事實上，一種將創新和上市速度置於安全和保障之上的商業模式，催生了一個打地鼠式的系統——大部分發現和修復安全漏洞的努力都發生在軟件發佈後，此時客户已暴露在風險中。試想如果汽車製造商幾乎不進行安全工程設計，卻承諾修復用户發現的所有危險缺陷會怎樣。

就基礎安全機制而言，市場力量仍是實現有效敏捷創新的首要途徑，但當市場失靈時，政府需要介入。一種方法是施加正式的"注意義務"責任——類似於汽車行業的規定——強制軟件開發商在開發和更新產品時採用某些基本的安全意識實踐。

任何軟件責任解決方案都必須考慮技術行業的獨特性，在這個領域，創新仍是提升性能的關鍵資產。因此，責任制度應側重於編纂和實施安全代碼開發的最佳實踐，同時避免一刀切的要求，以免對不同產品產生差異化影響。

重要的是，監管和責任制度必須充分聽取承擔主體的私營部門意見，並在各潛在監管機構間協調統一，以確保在施加最輕負擔的同時實現預期效益。此類制度還需通過確保履行注意義務可作為人為錯誤或產品誤用導致漏洞的有效抗辯，來保護開發者和製造商。

有人認為，引入任何安全要求都會延長開發時間並增加新軟件上市的相關成本，從而導致所有人的零售價格上漲。這種看法是短視的。更安全的汽車確實成本更高——但若考慮到避免了事故和故障帶來的損失，實際反而節省了開支。更安全的軟件同樣如此——最終，它帶來的安全負擔減輕所節省的成本遠超其投入。

關於軟件責任會抑制創新、對企業開發新產品或功能的意願產生寒蟬效應的擔憂也被誇大了。該行業已反覆證明，它完全能在遵守監管要求的同時實現震撼社會的創新。此外，政府可以對以創新和實驗為關鍵增長動力的新興技術或小型企業給予豁免。

隨着軟件更深地融入我們的生活，並擴散到太空和偏遠鄉村等更遙遠的地方，網絡攻擊的潛在影響也將同等擴大。確立基本注意義務雖不能杜絕所有缺陷，但將構建一個更可靠、更負責任的技術市場。

克里斯·英格利斯於2021年6月至2023年2月擔任美國首任參議院確認的國家網絡總監。 聯繫方式：[email protected]。

反對觀點：軟件公司只是替罪羊

丹尼爾·卡斯特羅

丹尼爾·卡斯特羅插圖：華爾街日報每當發生數據泄露、勒索軟件攻擊或其他網絡安全事件時，人們總想找人擔責。最明顯的罪魁禍首是攻擊者——通常是網絡罪犯或國家支持的黑客。但由於他們往往能逍遙法外，人們更容易將矛頭指向身邊。

軟件公司就是替罪羊之一。讓它們為網絡安全漏洞擔責具有某種直觀吸引力。將安全漏洞造成的損失強加給它們，理論上能增強其主動修復問題的動力。但這默認了資金投入不足是軟件存在安全隱患的原因。

事實上，軟件公司已在網絡安全領域投入巨資。例如微軟表示，2015至2020年間其每年網絡安全支出達10億美元每年網絡安全支出達10億美元，2021年更承諾五年內將投入提升四倍至200億美元。此外，大型軟件公司已花費數千萬美元運營漏洞賞金計劃，獎勵安全研究人員指出可能被黑客利用的軟件缺陷。

儘管投入巨大，企業仍要定期發現和修補安全漏洞，因為現代軟件複雜得超乎想象。開發者不僅要編寫成千上萬行代碼，其應用程序還需與涉及數百萬行代碼的外部軟件庫及操作系統交互。隨着開發者不斷更新，這些代碼庫持續變化，舊漏洞剛修復，新漏洞又會出現。

然而批評者認為，軟件公司應像汽車製造商那樣為缺陷產品擔責。但這種類比並不完全恰當。汽車需要配備有效的門鎖，但如果竊賊找到方法破門盜竊貴重物品，汽車廠商並不擔責。此外，儘管有產品責任法約束，汽車製造商仍會因車輛軟件缺陷頻繁發起召回——因為編寫零錯誤代碼本就不易。事實上，軟件安全之所以困難，在於攻擊者只需找到一個漏洞即可，而產品防護方卻必須堵住所有漏洞。

人為錯誤導致了多數數據泄露事件。人非聖賢，加重責任並不能杜絕失誤。若真能如此，讓每個點擊釣魚郵件或使用弱密碼的人承擔刑責，早該解決諸多網絡安全問題了。同理，要求程序員編寫完美代碼既不現實，也會打擊人們從事網絡安全的積極性。

這並非要為企業的安全疏漏開脱。但當前存在一種誤解，認為企業不會因安全防護不力被追責。事實恰恰相反。軟件公司的安全漏洞會招致鉅額經濟損失。SolarWinds就是例證：攻擊者利用其網絡監控軟件漏洞入侵後，該公司不僅聲譽受損，銷售額與股價也雙雙暴跌。

監管機構還可以針對企業的安全漏洞提起訴訟。美國聯邦貿易委員會已對D-Link、TRENDnet和華碩的物聯網設備軟件安全問題提起了訴訟。近期，司法部啓動了民事網絡欺詐倡議，旨在向政府出售不安全技術的企業追討數百萬美元的和解金。

將責任強加於軟件公司可能弊大於利。企業會將這些成本轉嫁給客户，導致所有人承擔更高費用卻無法確保安全性提升。面對更高的責任風險，企業將傾向於減少創新，例如通過削減功能來縮小代碼庫規模、延長軟件開發週期。這種創新放緩也會波及多因素認證和抗量子加密等涉及複雜代碼的高級安全功能。企業保護客户的動機會減弱，而自我保護意識會增強。

雖然沒有萬全之策，但政府與行業可以通過多種有效途徑攜手提升網絡安全。加強對軟件開發人員、系統管理員及其他技術人員的網絡安全培訓，是構建安全軟件、正確配置系統及修復漏洞的必要條件。提升軟件供應鏈安全性——例如包含列出應用程序中所有數字組件的軟件物料清單——將幫助安全專家快速追蹤漏洞。政府與行業應共同審核和完善廣泛使用的開源軟件安全性，同時開發並測試人工智能工具以識別代碼中的安全漏洞。

雖然讓企業對不安全軟件承擔責任在理論上聽起來不錯，但在實踐中難以奏效。

丹尼爾·卡斯特羅（Daniel Castro）是信息技術與創新基金會副總裁兼數據創新中心主任。聯繫方式：[email protected]。

刊載於2023年6月7日印刷版，標題為《軟件公司是否該為安全漏洞擔責？》。