我们跳过庭审，直接宣判吧!

有很多关于我最近帖子在LinkedIn上，以及类似的网站帖子作者:Jeff Williams相对的安全。杰夫最为人所知的身份是OWASP十强赛的创始人，但现在我知道他是一支50岁以上男子篮球队的球员，这支篮球队过去曾赢得全国冠军，还击败过墨西哥国家队(尽管他们今年没有获胜)。谁会想到一个篮球明星会在软件安全方面做副业呢?

在回复评论(以及回复我的回复)的过程中，我现在能够更清楚地表达我的立场:

1. 白宫对软件供应链网络攻击数量不断增加的担忧是可以理解的，其中许多攻击是由于攻击者利用了被攻击组织使用的软件产品中的漏洞。
2. 对于这个问题，白宫提出了什么补救措施?在上周四发布的白宫网络安全战略文件中，题为“战略目标3.3……”的一节中，有一段引人注目的声明，“我们必须开始将责任转移到那些未能采取合理预防措施保护其软件的实体身上……”当然，这一节明确指出，“未能采取合理预防措施”只是软件供应商的错误，而不是软件消费者的错误。而不是安全工具的制造商没有检测到导致漏洞的漏洞等等。这一节没有提到责任的分配，也没有提到除了将100%的责任分配给供应商之外的任何事情。
3. 然而，假设软件开发人员遵循了糟糕的开发实践，并在他们的产品中(在开发期间)包含了当时已知的构成漏洞的特定代码序列，这些代码序列被利用的可能性非零，或者包含构成此类漏洞的代码的第三方组件。
4. 此外，假设由于无知或故意疏忽，开发人员在将产品交付给最终用户之前没有修补此漏洞(或替换易受攻击的代码或组件)。无论开发人员是否知道这个漏洞，他们都应该在发布产品之前在测试中发现它。毕竟，这是一个已知的脆弱性。我认为这一事实是开发者疏忽的明确证据，尽管这与责任并不相同。
5. 现在，让我们假设，在供应商将这个易受攻击的产品运送给客户几年后，其中一个客户(“客户A”)被攻破，因为有问题的漏洞被黑客利用了。该漏洞对客户A造成了严重损害，可能是因为攻击者利用该漏洞在客户的网络中植入了勒索软件。
6. 在数据泄露后，客户A对开发商提起诉讼，称他们糟糕的开发实践是导致数据泄露的原因;因此，漏洞后果的责任(可能是由勒索软件事件引起的对他们业务的重大破坏)100%由开发人员承担。他们指出，2023年白宫网络安全战略文件的这一部分支持他们的主张，即开发者应承担100%的责任。听起来是个简单明了的案子，对吧?
7. 如果我是本案的法官(假设这是法庭审判)，我会裁定开发商确实对客户a所遭受的损害承担100%的责任吗?我可能会这么做，只要开发商没有拿出令人信服的相反证据。
8. 然而，假设开发者为自己辩护，因为他们不认为自己有责任(当然，如果他们认为自己有责任，他们可能会在诉讼进入审判之前解决诉讼)。他们承认，在发布包含漏洞的产品版本(即客户A购买的版本)之前，他们没有对漏洞进行足够的测试，这是错误的。
9. 然而，他们指出，在他们将产品交付给客户a一年后，他们发现了产品中的漏洞，并立即为其制作了补丁。他们通知所有客户补丁可用，包括客户A。
10. 客户A从未应用解决此漏洞的补丁。事实上，他们并不适用任何未来四年的产品补丁。由于开发人员生产所谓的“累积”补丁——其中包括以前补丁的内容——所有客户A必须要做的是，为了免受最终导致他们下降的漏洞的保护，就是应用任何一个在这四年里发布的补丁中。但他们从来没有申请过一个。
11. 当然，在开发人员发现该漏洞并发布补丁的四年后，该客户的产品实例被破坏了，剩下的就是历史了。由于客户正在起诉他们，要求获得大量资金，因此开发人员已经开发了证据，表明他们的许多其他应用了该补丁的客户也受到了破坏客户a的同一个勒索软件组织的攻击。然而，这些其他客户都没有被破坏，因为该漏洞在他们的产品实例中得到了修补。
12. 鉴于这些证据，我作为法官，会不会a)带着偏见驳回诉讼(意味着诉讼不能重新提起)，因为在我看来，开发商显然完全没有责任(也许我还会要求原告支付被告的所有法律费用)?或者我会b)为原告辩护，因为在我看来，开发商提出的证据都不重要——也就是说，开发商实际上是100%的责任(也许2023年的战略文件会影响我的判断)?还是c)不带偏见地驳回诉讼，这意味着如果原告发现开发商责任的更有力证据，他们仍然可以重新提起诉讼?
13. 坦率地说，这三种结果中的任何一种都是可能的，还有很多其他可能的结果。关键是，如果案件如此简单，以至于诉讼要么完全成功(选项b)，要么完全失败(选项a)，那将是非常不寻常的。

事实上，如果责任的分配像白宫战略文件所显示的那样明确，就永远不需要这样做任何关于责任的审判，至少在软件泄露案件中。所有客户A需要做的就是提交某种通知，说明他们使用了开发人员的软件，他们被攻破了，开发人员除了打开他们的支票簿，询问他们需要写多少支票外，什么也做不了。[我]

然而，现在看来白宫(也许还有国土安全部)认为根本没有必要通过法庭案件来确定软件泄露的责任。在他们看来，这些案件的结果从一开始就已经决定了。

这就像两个牛仔抓住了一个偷牛贼并准备绞死他的故事。其中一个牛仔突然感到良心不安，问道:“难道我们不应该给这个人一个公平的审判吗?”另一个牛仔大声说:“你说得对!我们会公正地审判这个人……”

“……然后我们绞死他。”

在这篇博客文章中表达的任何观点严格来说都是我的，并不一定与Tom Alrich LLC的任何客户共享。如果你想对你在这里读到的东西发表评论，我很乐意听到你的声音。请电邮至tom@tomalrich.com。