聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
尽管美国已最终裁定在美国境内禁用卡巴斯基安全软件,但卡巴斯基仍继续推进其向独立第三方开放数据和产品进行审查的提案,向美国证明其代码并未且将不会遭俄罗斯间谍攻陷。
差不多两周前,卡巴斯基开始谈论用于验证其安全产品、软件更新和威胁检测规则的“全面评估框架”提案,寄望于该计划能够说服美国政府取消以国家安全为由的卡巴斯基软件销售禁令。
卡巴斯基目前向The Register 媒体独家提供了关于向美国商务部展示的验证系统的更多详情。卡巴斯基希望通过该系统向美国展示其代码并不受俄罗斯控制。
卡巴斯基表示,截止目前美国政府拒绝了这一提案。美国商务部拒绝就此回复任何问题。卡巴斯基尚未放弃,仍然希望能够翻盘。
卡巴斯基的首席执行官尤金·卡巴斯基表示,该提议的框架构建于其早期的“全球透明度倡议”,“能够以有效和可被验证的方式解决与产品开发和分发相关的多数ICT供应链风险。这些实际上是我们向美国商务部提议进行讨论的缓解措施,再次证实我们关于对话的开放性,并决定提供最终级别的安全保证。然而,我们的提案被无视。”
这是卡巴斯基自上个月美国商务部决定禁用卡巴斯基产品以来的最新缓和措施。而这是美国政府多年来采取的方式。卡巴斯基2017年发布的全球透明度倡议即开放源代码请第三方审计,是对卡巴斯基技术遭美国政府性系统禁令的回应。
美国当局表示,他们担心俄罗斯将通过某种方式使用卡巴斯基的代码来监控美国计算机及其用户。当问到美国当局拥有何种证据支持卡巴斯基产品具有国家安全风险的说法时,卡巴斯基的公共关系副总监 Yuliya Shlychkova 表示,“不法行为的证据并不存在。因此,我们持续呼吁采取基于技术、基于证据的方式来评估网络安全产品的可信任性”,Shlychkova 指出,“我们一直在和不同的监管机构分享这些原则和框架”,而最近是和商务部的监管机构进行分享。
提议框架包括三大核心
该提议的框架包括三大核心,第一个核心涉及数据处理本地化。Shlychkova 表示,“在美国进行本地化,并确保要求任何人都不得从任何其它国家访问该数据的严格的访问策略,甚至是其它国家的卡巴斯基员工均无法访问该数据。”
更广泛地说,这一步骤是为了确保卡巴斯基可访问的任何数据都旨在某个特定区域如美国进行存储和处理,位于其它国家或地区如俄罗斯的任何人都无法访问用于处理和存储该信息的数据或基础设施。
卡巴斯基表示已经在位于沙特阿拉伯和巴西的检测和响应管理服务这样做了。Shlychkova 提到,卡巴斯基在回应美国商务部时建议也在美国采取类似流程。由所在国监管机构挑选且向其汇报的独立第三方可验证这些措施已执行。
本地化数据处理也要求本地威胁分析和恶意软件检测签名,卡巴斯基表示其技术均可提供这些服务。它还要求国家中有更多的区域性研发和IT团队以及本地数据中心、基础设施、软件等选择这一方法。
鉴于美国政府禁止卡巴斯基在7月20日销售产品和服务,并要求在最后截止日期9月29日停止向已有客户提供更新,因此在近期美国可能不会撤销该禁令。
在继续寻求法律措施的同时,卡巴斯基已开始关闭在美国的运营并取消在美提供的岗位。
第二个核心是审计所接受的数据,它也将由通过监管机构认可的审计机构进行验证,以确保卡巴斯基产品所含数据未将任何个人可识别信息或其它受保护数据传输给该公司(或克里姆林宫),并确保所有数据都用于预期的合法目的。
Shlychkova 补充道,“双向流动很重要。一个流向被发送给卡巴斯基解决方案的是何种数据,另外一个流向是卡巴斯基解决方案向用户推送何种数据,这两个方向都正在由第三方审计机构进行检查。”
第三个核心涉及独立审计机构检查卡巴斯基的威胁数据库更新和与产品相关的软件代码开发,以确保向用户发送的这些更新和数据不会施加任何与国家安全相关的风险等。
Shlychkova 认为,“第三个指出是最高阶的技术措施,而且是真正前所未有的,因为我们每天处理40多万份文件。”
这些提案不仅限于美国:卡巴斯基希望将其也提交给欧洲,本文作者认为这样做的目的是为了最终说服美国改变裁定。Shlychkova提到,由于多个国家的监管环境不同,并将要求广泛宣传和重大投入”,因此执行该框架是“一个漫长的过程”。她提到,“当然监管机构能够设立整个系统是最好不过了,我们现在仅位于这个漫长流程的起点。”
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
卡巴斯基出席BCS2022:关基设施成为攻击目标 要共建“网络免疫系统”
原文链接
https://www.theregister.com/2024/07/25/kaspersky\_us\_review\_snub/
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~