5 月 26 日，美国商务部工业与安全局（英文简称 BIS），正式发布了针对网络安全领域的最新的出口管制规定，根据新规的要求，各实体在与 D 类国家和地区的政府相关部门或个人进行合作时，必须要提前申请，获得许可后才能跨境发送潜在网络漏洞信息。该规定将全球国家分为 A、B、D、E 四类，限制措施和严格程度逐步递增。而中国就被分在 D 类，即受严格限制的国家和地区。像微软、谷歌、苹果、甲骨文、SAP这些在美国注册或上市的公司，在发现软件系统中存在漏洞和安全问题，对外公布之前需要进行审批，并且未经许可不得擅自向中国客户或合作方进行分享。

《联邦公报》文件截图对于BIS的这个新规，美国国内科技巨头也不算是铁板一块，软件巨头微软公司就明确表示了异议。早在去年，这条规定发布征求意见稿后，微软就以书面意见形式在评论部分提交了对这份文件的异议。微软表示，如果参与网络安全活动的个人和实体因和政府有关联而受限，将大大压制全球网络安全市场目前部署的常规网络安全活动的能力。很多时候，在无法确定对方是否和政府存在关联时，企业面对合规压力只能放弃合作。微软提出，BIS应该进一步明确定义「政府最终用户」，或者至少澄清这个定义下可能涵盖哪些个人或实体。BIS在该规定的最终决定稿发布时，提及了微软的反对意见，但没有点名，并表示「BIS不同意该意见」。BIS在文件中提到：「有公司表示，对代表'政府最终用户'人的限制，将阻碍与网络安全人员的跨境合作，因为在与这些人沟通之前，要检查其是否与政府有联系。该公司建议取消这一要求或对其进行修改。BIS不同意这一建议。」不过，该规定采纳了研究界的一些意见，对需要核查的安全漏洞范围做了进一步收窄，并增加了临时例外条款。即：如果是出于合法的网络安全目的，如披露公共漏洞或安全事件响应，无需审核。微软在感谢BIS对规则修改的同时，也表示，不确定这样的例外条款能否解决实际问题。

四川质量发展研究院高级研究员熊节表示，在当前的国际地缘环境下，特别是美国BIS出台上述新规的背景下。网络安全对于中国显得尤为重要，特别是很有必要对现有开源生态进行升级。“我们需要打造一个更负责的、更可追踪的、更可回溯责任的开源系统，”熊节认为，同时，从事开源供应链咨询、审核并提供相关工具技术的人才也要形成一个生态产业。在基础设施、机制、人员和服务的合力下，共建“安全的供应链”。

（图源网络，侵删）