我之前写过关于软件供应商拒绝对其产品性能承担责任的能力的双刃剑。六年前,我写了《侵权互联网》 ,内容涉及物联网物理对象中嵌入的软件。四年前,我写了一篇有关软件供应链中的责任的文章。
 |
| 来源 |
去年 10 月,Tom Uren 撰写了《欧盟对软件责任投掷手榴弹》 :
欧盟和美国在引入软件产品责任方面采取了截然不同的方法。当美国把罐子踢到路边时,欧盟却在往里面扔手榴弹,看看会发生什么。
美国
 |
| 来源 |
2020 年 3 月,网络空间日光浴室委员会(一个由“立法者和外部专家组成的两党团队”)发布了报告。在其 82 条建议中,有几项与责任相关:
- 3.3.2:明确联邦指导的缓解、响应和恢复工作的责任
- 4.2 国会应通过一项法律,规定软件、硬件和固件的最终产品组装商应对利用已知和未修补漏洞的事件造成的损害负责
- 4.3 国会应设立网络统计局,负责收集和提供网络安全和网络生态系统的统计数据,为政策制定和政府计划提供信息
 |
| 来源 |
2023 年 3 月,拜登政府宣布了国家网络安全战略。关于责任,它指出:
市场对那些将易受攻击的产品或服务引入我们的数字生态系统的实体施加的成本不足,而且往往会给予奖励。太多供应商忽视安全开发的最佳实践,交付带有不安全默认配置或已知漏洞的产品,并集成未经审查或未知来源的第三方软件。软件制造商能够利用其市场地位,通过合同完全免除责任,进一步减少他们遵循设计安全原则或执行预发布测试的动力。糟糕的软件安全性极大地增加了整个数字生态系统的系统性风险,并让美国公民承担最终成本。
政府打算对此采取什么措施?:
政府将与国会和私营部门合作制定立法,确定软件产品和服务的责任。任何此类立法都应防止具有市场力量的制造商和软件发行商通过合同完全免除责任,并为特定高风险情况下的软件制定更高的维护标准。为了开始制定安全软件开发的护理标准,政府将推动适应性安全港框架的开发,以保护安全开发和维护其软件产品和服务的公司免遭责任。这个安全港将借鉴当前安全软件开发的最佳实践,例如 NIST 安全软件开发框架。它还必须随着时间的推移而发展,纳入用于安全软件开发、软件透明度和漏洞发现的新工具。
2024 年 10 月,埃里克·盖勒 (Eric Geller) 在《软件责任斗争:在一个“非常、非常、非常困难的问题”》中研究了网络空间日光浴室委员会的建议发生了什么:
国会责成网络安全专家小组重新构想美国的数字安全方法六年后,该小组的几乎所有提案都已得到实施。但有一个明显的例外尤其困扰着政策制定者和倡导者:一项要求软件公司对由缺陷代码引起的重大故障承担法律责任的提议。
这并不是委员会发明的 责任问题:
自 20 世纪 80 年代以来,法律学者一直在讨论如何对有缺陷的软件适用责任。事实上,对于正确的方法仍未达成共识,这一事实凸显了问题的复杂性。
最大的障碍之一是建立“护理标准”,这是公司可以满足以避免诉讼的最低安全门槛。登普西说,对于“如何定义一种相当安全的软件产品”存在分歧,而且技术发展如此之快,制定一个特定的标准可能并不明智。
人们提出了各种解决方案,包括让陪审团决定软件是否足够安全(就像对待其他产品一样),以及让公司通过政府认证流程等现有计划获得免受诉讼的“安全港”资格。
日光浴室委员会提议为修补已知漏洞的公司提供安全港。但这只能解决部分问题。
即使是非常弱的“注意义务”也会是一个很大的进步。例如,它将禁止硬连线密码,要求使用 FIDO 或密钥而不是 SMS进行两因素身份验证,要求邮件程序显示链接的实际目标,等等。
行业的抵制非常 猛烈:
该行业的主要论点之一是,责任会分散公司提高安全性的注意力,并使他们承担过多的合规成本。软件贸易组织 BSA 的高级政策总监亨利·杨 (Henry Young) 表示:“公司花在考虑责任上的时间越多,花在高价值活动上的时间就越少。”
问题在于“更高价值的活动”通常会导致其产品增加漏洞。我怀疑Equifax或SolarWinds的客户等受害公司的管理层是否会认为添加华丽的新功能比修复漏洞“更有价值”。
你不能说这个行业的批评 没有创意:
责任反对者表示,不安全的软件并不是最大的网络安全问题,并指出广泛且具有破坏性的网络钓鱼攻击。
对了!网络钓鱼是一种自然力量,而不是由行业不安全产品启用的策略。
业界的一些论点 很可笑:
他们认为,即使政策制定者希望关注软件安全,也有更好的方法来推动供应商前进,例如鼓励公司董事会监督。
董事会成员通过 D&O 保险免于承担责任,因此“鼓励”他们的效果恰好为零。
但这是我 最喜欢的:
他们警告说,关注责任会分散政府利用有限资源追求更好政策的注意力。
他们想要的“更好的政策”到底是什么?独自运送更多有缺陷的产品。
该行业抱怨说他们会受到与其他人不同的待遇,而轻易地忽略了其他人不能 否认责任:
批评者还认为,因被恶意行为者故意利用的数字缺陷而惩罚公司是不公平的,这种情况在食品和汽车等大多数有责任的行业中很少见。
2023 年,美国有近41,000人死于汽车事故。许多(可能大部分)死亡事件是由“恶意行为者”利用缺陷造成的,例如汽车知道限速但不强制执行,或者可以但没有检测到驾驶员喝醉或打瞌睡。责任并没有让汽车行业真正意识到安全问题。相反,我们有假自动驾驶杀人。和:
每年有多达 4,800 万人因食源性疾病患病,据估计多达 3,000 人因此死亡。
最后,业界声称 一切都很好:
行业领导者表示,责任是不必要的,因为已经有一个可行的替代方案:市场,企业对其客户负责并投资安全以避免财务和声誉惩罚。至于免责合同,业内人士表示,客户可以与供应商协商安全期望。
“我们愿意就任何提高软件安全性的方法进行对话,”Young 说。 “我们的客户关心它,我们希望为他们提供服务。”
您是否尝试过与 Microsoft“协商安全期望”,或者与 Oracle 讨论“提高软件安全性的方法”?进展如何?我猜进展 并不顺利:
一群技术专家在本月批准的一份报告中警告网络安全和基础设施安全局:“仅仅告诉组织不修复安全漏洞将影响他们的业务并不足以起到激励作用。”
专家们还拒绝了大多数客户可以将责任谈判纳入合同的想法。很少有公司在与软件巨头的谈判中拥有影响力,也很少有客户对软件安全有足够的了解来向其供应商提出任何要求。
尽管其性质很可笑,但该行业的抵制确保了一切都没有发生 ,直到为时已晚:
赫尔表示,高级政府官员并没有兑现他们关于将网络安全负担从客户转移到供应商的豪言壮语。 “在很多情况下,白宫的态度是愿意在运营问题上尊重业界的意见。”
最终可能会由法官来决定免责声明是否有效,或许还有一线希望。去年 12 月 Sean Lyngaas 报道称,法官裁定以色列公司 NSO Group 对 WhatsApp 黑客事件造成的损失承担责任:
周五,消息服务 WhatsApp 宣布对以色列间谍软件公司 NSO Group 取得重大法律胜利,此前一名联邦法官裁定 NSO 根据联邦和加州法律对 2019 年导致 1,000 多名 WhatsApp 用户遭受攻击的黑客攻击负有责任。
对于那些试图控制制造强大间谍软件或能够监视电话和短信的软件的公司的活动人士来说,这是一次罕见的法律胜利,据报道,这种软件已被用于世界各地的记者、人权倡导者和政治异见人士。
因此,在美国,最终用户许可协议中的免责声明仍然有效,并且可能会继续有效,除非您的产品旨在实施诸如违反《计算机欺诈和滥用法》等犯罪行为。受害者证明责任的门槛高得令人难以置信。
让我感到怀疑的是,Jim Dempsey 在The MAGA Case for Software Liability中写道:
在现任政府的领导下,后里根时代的共和党人本能地倾向于仅依靠市场力量让企业对其行为的后果负责,这似乎妨碍了利用政府政策来提高对企业和政府运营至关重要的软件的安全性。事实上,特朗普团队已承诺全面否定过去四年中通过的法规,因此对工业的新限制似乎特别不可能。
然而,新政府不应默认废除过去四年的网络安全行动并被动接受关键基础设施中的严重网络漏洞,这是有充分理由的。事实上,正如我去年在一系列针对基础设施和数据的举措中所解释的那样,拜登政府的大部分网络安全议程都是建立在特朗普总统在其第一任期内启动的项目的基础上的。特朗普政府最好记住促使其第一次采取这些行动的基本原则。
欧盟
 |
| 来源 |
欧盟似乎采取了相反的做法。汤姆·乌伦 写道:
本月早些时候,欧盟理事会发布了一项指令,更新了欧盟的产品责任法,以与任何其他产品相同的方式对待软件。 根据该法,消费者可以就缺陷产品造成的损失要求赔偿,而无需证明供应商存在疏忽或不负责任。除了人身伤害或财产损失之外,对于软件产品,还可能因数据丢失或破坏而获得损害赔偿。
在欧盟,公司被推定对有缺陷的产品承担责任,除非他们有资格获得“ 安全港”:
该指令没有定义最低软件开发标准,而是设定了我们认为的最高可能标准。如果软件制造商证明在产品投放市场时的“科学和技术知识的客观状态”下无法发现缺陷,则他们可以避免承担责任。
该指令基于两个主要原则:
- 制造商必须赔偿因其缺陷产品造成的损失
- 受害者必须证明产品的缺陷、造成的损坏,并证明该缺陷是造成损坏的原因
- 数字经济:新法将“产品”的定义扩展到数字化制造文件和软件。此外,如果在线平台表现得像其他经济运营商一样,也可能对其平台上销售的缺陷产品承担责任。
- 循环经济:当产品在原制造商控制之外进行维修和升级时,修改产品的公司或个人应承担责任。
与美国当前和拟议的方法不同,欧盟的方法对以下方面施加了受害者驱动的后果:
- 未能使用当前的软件工具和开发实践来防止缺陷。请注意,该指令赋予受害者获取此类证据的权利。
- 未能承认和回应客户和第三方的缺陷报告,因为它们可以通过“科学和技术知识的客观状态”清楚地发现。但请注意“产品投放市场时”的警告。
- 未能及时修复缺陷。
乌伦 总结道:
世界上最重要的企业和政府使用的主要软件供应商正在发布滑稽且易受攻击的代码,而不用担心任何反弹。所以,是的,现状需要改变。是否需要向其投掷手榴弹还是一个悬而未决的问题。我们很快就会得到答案。
开源
美国和欧盟的做法似乎都没有考虑到这样一个事实:他们提议监管的许多“产品”都是基于开源代码的。 IT 崛起的一个未被充分认识的特征是 1988 年Berkeley Software Distribution 许可证和 Richard Stallman 的 1989 年GNU 通用公共许可证所释放的非凡生产力。 Gnu 公共许可证第 3 版第 15 条规定:
在适用法律允许的范围内,对本程序不提供任何保证。除非另有书面说明,版权所有者和/或其他方“按原样”提供程序,不提供任何类型的明示或暗示的保证,包括但不限于适销性和特定特定适用性的暗示保证 目的。本计划的质量和性能的全部风险由您承担。如果该程序被证明有缺陷,您将承担所有必要的维修、修理或纠正的费用。
第 16 条规定:
在任何情况下,除非适用法律要求或书面同意,否则任何版权持有者或修改和/或传送上述允许的程序的任何其他方均不对您的损害承担责任,包括任何一般、特殊、附带或后果性损害因使用或无法使用本程序而导致(包括但不限于数据丢失或数据不准确或由您或第三方承受的损失或本程序无法与任何其他程序一起运行),即使此类持有者或其他方已得到通知此类损害的可能性。
这些许可证放弃了保证和责任,这是开源革命的关键,因为它使个人,而不是受雇主律师保护的开发人员,能够做出贡献。如果没有免责声明,个人开发商将面临不可接受的法律风险。另一方面,开源也是恶意软件的传播渠道。 Shaurya Malwa 在《黑客正在使用假 GitHub 代码窃取你的比特币:卡巴斯基》中报道了一个示例:
该报告警告用户,“GitVenom”活动已经活跃了至少两年,但仍在稳步上升,涉及在流行的代码存储平台上的虚假项目中植入恶意代码。
攻击从看似合法的 GitHub 项目开始,例如制作用于管理比特币钱包或电脑游戏工具的 Telegram 机器人。
每个文件都附带一个完善的自述文件(通常是人工智能生成的),以建立信任。但代码本身就是一个特洛伊木马:对于基于 Python 的项目,攻击者会在 2000 个选项卡的奇怪字符串后隐藏恶意脚本,该字符串解密并执行恶意负载。
对于 JavaScript,主文件中嵌入了一个流氓函数,从而触发了启动攻击。一旦激活,恶意软件就会从黑客控制的单独 GitHub 存储库中提取其他工具。
在阻止供应商“发布滑稽且易受攻击的代码”的需要与培育开源生态系统的需要之间取得平衡是一个难题。
原文: https://blog.dshr.org/2025/02/software-liability-us-vs-eu.html