Wired:中国要求科技公司揭示其产品中存在的可被黑客攻击的漏洞
在过去的两年里,中国已经增加了获取关于这些漏洞信息的另一种方式:一项法律要求在该国运营的任何网络技术公司交出这些信息。当科技公司发现其产品中存在可被黑客攻击的漏洞时,他们现在必须告知中国政府机构——根据一项新的调查,该机构在某些情况下会与中国国家赞助的黑客分享这些信息。还有一些证据表明,在中国设有运营机构的外国公司正在遵守这项法律,间接地向中国当局提供关于潜在新的黑客攻击方式的线索。
鉴于修补技术产品中的漏洞几乎总是需要比中国法律规定的两天的披露期限更长的时间,大西洋理事会的研究人员认为,该法律实际上将任何在中国设有运营机构的公司置于一个不可能的位置:要么离开中国,要么将有关公司产品中漏洞的敏感信息提供给可能会使用该信息进行攻击性黑客行动的政府。
《连线》向这六家公司询问他们是否实际上遵守了法律,是否向中国政府提供了有关其产品中未修补漏洞的信息。其中只有两家公司,D-Link和菲尼克斯电气,坚决否认向中国当局提供有关未修补漏洞的信息,尽管其他大多数公司坚称,他们只向中国政府提供相对无害的漏洞信息,并且与向其他国家政府或其自身客户提供信息的同时提供信息。
在工业和信息化部的名单上的六家非中国(大陆)公司中,总部位于台湾的D-Link给《连线》提供了最直接的否认,北美地区首席信息安全官William Brown在一份声明中表示,该公司“从未向中国政府提供未披露的产品安全信息”。
考虑到这些谨慎措辞的回应,有时甚至含糊其辞,很难确切知道公司到底有多大程度的遵守中国的漏洞披露法律,尤其是考虑到政府门户网站上上传漏洞信息所需的相对详细的描述。
来源:wired.com
在过去的两年里,中国已经增加了获取关于这些漏洞信息的另一种方式:一项法律要求在该国运营的任何网络技术公司交出这些信息。当科技公司发现其产品中存在可被黑客攻击的漏洞时,他们现在必须告知中国政府机构——根据一项新的调查,该机构在某些情况下会与中国国家赞助的黑客分享这些信息。还有一些证据表明,在中国设有运营机构的外国公司正在遵守这项法律,间接地向中国当局提供关于潜在新的黑客攻击方式的线索。
鉴于修补技术产品中的漏洞几乎总是需要比中国法律规定的两天的披露期限更长的时间,大西洋理事会的研究人员认为,该法律实际上将任何在中国设有运营机构的公司置于一个不可能的位置:要么离开中国,要么将有关公司产品中漏洞的敏感信息提供给可能会使用该信息进行攻击性黑客行动的政府。
《连线》向这六家公司询问他们是否实际上遵守了法律,是否向中国政府提供了有关其产品中未修补漏洞的信息。其中只有两家公司,D-Link和菲尼克斯电气,坚决否认向中国当局提供有关未修补漏洞的信息,尽管其他大多数公司坚称,他们只向中国政府提供相对无害的漏洞信息,并且与向其他国家政府或其自身客户提供信息的同时提供信息。
在工业和信息化部的名单上的六家非中国(大陆)公司中,总部位于台湾的D-Link给《连线》提供了最直接的否认,北美地区首席信息安全官William Brown在一份声明中表示,该公司“从未向中国政府提供未披露的产品安全信息”。
考虑到这些谨慎措辞的回应,有时甚至含糊其辞,很难确切知道公司到底有多大程度的遵守中国的漏洞披露法律,尤其是考虑到政府门户网站上上传漏洞信息所需的相对详细的描述。
来源:wired.com
