卡巴斯基:美国拒绝由第三方审计代码的提案

于 2024-07-29 17:46:23 发布
阅读量161 收藏
点赞数
文章标签: 网络
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247520240&idx=1&sn=61fe9419a66cbdcffcea5f31ff8e9257&chksm=eb984c6adc200e206340eee8ce1142d1e07a2c2b6ec9808f4290b315de6ca5ebbdbae6eca696&scene=126&sessionid=0
版权

ec7b592fc3df54cc0d2c20b4723db2ab.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

尽管美国已最终裁定在美国境内禁用卡巴斯基安全软件,但卡巴斯基仍继续推进其向独立第三方开放数据和产品进行审查的提案,向美国证明其代码并未且将不会遭俄罗斯间谍攻陷。

差不多两周前,卡巴斯基开始谈论用于验证其安全产品、软件更新和威胁检测规则的“全面评估框架”提案,寄望于该计划能够说服美国政府取消以国家安全为由的卡巴斯基软件销售禁令。

卡巴斯基目前向The Register 媒体独家提供了关于向美国商务部展示的验证系统的更多详情。卡巴斯基希望通过该系统向美国展示其代码并不受俄罗斯控制。

卡巴斯基表示,截止目前美国政府拒绝了这一提案。美国商务部拒绝就此回复任何问题。卡巴斯基尚未放弃,仍然希望能够翻盘。

卡巴斯基的首席执行官尤金·卡巴斯基表示,该提议的框架构建于其早期的“全球透明度倡议”,“能够以有效和可被验证的方式解决与产品开发和分发相关的多数ICT供应链风险。这些实际上是我们向美国商务部提议进行讨论的缓解措施,再次证实我们关于对话的开放性,并决定提供最终级别的安全保证。然而,我们的提案被无视。”

这是卡巴斯基自上个月美国商务部决定禁用卡巴斯基产品以来的最新缓和措施。而这是美国政府多年来采取的方式。卡巴斯基2017年发布的全球透明度倡议即开放源代码请第三方审计,是对卡巴斯基技术遭美国政府性系统禁令的回应。

美国当局表示,他们担心俄罗斯将通过某种方式使用卡巴斯基的代码来监控美国计算机及其用户。当问到美国当局拥有何种证据支持卡巴斯基产品具有国家安全风险的说法时,卡巴斯基的公共关系副总监 Yuliya Shlychkova 表示,“不法行为的证据并不存在。因此,我们持续呼吁采取基于技术、基于证据的方式来评估网络安全产品的可信任性”,Shlychkova 指出,“我们一直在和不同的监管机构分享这些原则和框架”,而最近是和商务部的监管机构进行分享。

5011ae43e6b33f6bcf402eedef40f6bf.gif

55c35e896444ab4ec2d01233ca13e183.png

提议框架包括三大核心

ca4292b1c0b16656fba12a5de7544e40.png

该提议的框架包括三大核心,第一个核心涉及数据处理本地化。Shlychkova 表示,“在美国进行本地化,并确保要求任何人都不得从任何其它国家访问该数据的严格的访问策略,甚至是其它国家的卡巴斯基员工均无法访问该数据。”

更广泛地说,这一步骤是为了确保卡巴斯基可访问的任何数据都旨在某个特定区域如美国进行存储和处理,位于其它国家或地区如俄罗斯的任何人都无法访问用于处理和存储该信息的数据或基础设施。

卡巴斯基表示已经在位于沙特阿拉伯和巴西的检测和响应管理服务这样做了。Shlychkova 提到,卡巴斯基在回应美国商务部时建议也在美国采取类似流程。由所在国监管机构挑选且向其汇报的独立第三方可验证这些措施已执行。

本地化数据处理也要求本地威胁分析和恶意软件检测签名,卡巴斯基表示其技术均可提供这些服务。它还要求国家中有更多的区域性研发和IT团队以及本地数据中心、基础设施、软件等选择这一方法。

鉴于美国政府禁止卡巴斯基在7月20日销售产品和服务,并要求在最后截止日期9月29日停止向已有客户提供更新,因此在近期美国可能不会撤销该禁令。

在继续寻求法律措施的同时,卡巴斯基已开始关闭在美国的运营并取消在美提供的岗位。

第二个核心是审计所接受的数据,它也将由通过监管机构认可的审计机构进行验证,以确保卡巴斯基产品所含数据未将任何个人可识别信息或其它受保护数据传输给该公司(或克里姆林宫),并确保所有数据都用于预期的合法目的。

Shlychkova 补充道,“双向流动很重要。一个流向被发送给卡巴斯基解决方案的是何种数据,另外一个流向是卡巴斯基解决方案向用户推送何种数据,这两个方向都正在由第三方审计机构进行检查。”

第三个核心涉及独立审计机构检查卡巴斯基的威胁数据库更新和与产品相关的软件代码开发,以确保向用户发送的这些更新和数据不会施加任何与国家安全相关的风险等。

Shlychkova 认为,“第三个指出是最高阶的技术措施,而且是真正前所未有的,因为我们每天处理40多万份文件。”

这些提案不仅限于美国:卡巴斯基希望将其也提交给欧洲,本文作者认为这样做的目的是为了最终说服美国改变裁定。Shlychkova提到,由于多个国家的监管环境不同,并将要求广泛宣传和重大投入”,因此执行该框架是“一个漫长的过程”。她提到,“当然监管机构能够设立整个系统是最好不过了,我们现在仅位于这个漫长流程的起点。”

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

卡梅隆要求信息app留后门否则会发禁令

美国将封禁卡巴斯基杀毒软件 要求企业在9月29日前替换

卡巴斯基出席BCS2022:关基设施成为攻击目标 要共建“网络免疫系统”

卡巴斯基称发现美国中情局CIA 开发的新恶意软件

原文链接

https://www.theregister.com/2024/07/25/kaspersky_us_review_snub/

题图:Pexels License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

6a6ff73ad8d9c66652cb96adaa92ac84.jpeg

66c721d3fed9bafd1db726dc23746959.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   f91fa552be737ee70b69df887e41d957.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
第三方组件审计
武天旭的博客
10-05 936
一、框架相关漏洞 MyBatis框架: 使用不当导致sql注入。如下: 代码示例:mapper文件 select * from messages where username=#{username} // 这种写法不会产生SQL注入 select * from user where username like '%$username$%' // 这种like写法会产生SQL注入
卡巴斯基免费版
09-12
卡巴斯基个人免费版
关于卡巴斯基
adsda1111的博客
11-13 694
关于卡巴斯基 aL_work 目前杀毒软件,防火墙非常多,大家也各持己见,关于卡巴斯基安全套装从我开始接触电脑就使用,感觉到的好处就是别的杀毒软件杀不了的他一定能杀,以及Kis(即卡巴斯基安全套装)杀毒软件防火墙都具备,不必那么麻烦,两个各装一套. 很多关于卡巴斯基的一般两点,一是分不清卡巴斯基杀毒软件和卡巴斯基安全套装的区别,即kav和kis的区别,二是卡巴斯基比较吃内存,...
杀毒软件-试用卡巴斯基全方位安全软件
小正子
09-22 1万+
前言: 国内有各种各样的杀毒软件,但是国内杀毒软件一般是免费,但是免费就要有广告,对于我们来说广告是真的烦,如果我们想要用没有广告的,要么把目光投向国外的付费杀毒软件,要么把目光转向国内新兴的杀毒新贵 火绒安全,但是火绒虽好,却是很年轻,可以说杀毒能力还不足以让一堆人肆无忌惮的放心,那么我们看向国外呢?国外确实有很多优秀的杀毒软件,可以说杀毒能力远超360,腾讯管家,但是贵。可是近年...
卡巴斯基 相关下载
weixin_34161083的博客
04-16 208
卡巴斯基反病毒v6.0个人版 (含360安全卫士v3.3正式版) http://download.360safe.com/setupkav_kav.exe卡巴斯基半年免费激活码MGSYJ-VJN1V-G57D1-E36WD3JMH5-AVZGS-9Q7ZR-19ZQ7 卡巴斯基反病毒v6.0 最新病毒库下载http://www.kaba365.com/?fsid=72 卡巴斯基...
卡巴斯基:2019安全报告
01-11
根据卡巴斯基实验室2019年年度报告《卡巴斯基安全报告2019》,19.8%的用户计算机在过去一年中至少遭受过一次恶意软件的网络攻击。 报告中使用的所有统计数据都是通过卡巴斯基安全网络(KSN)获得的,KSN是一个...
卡巴斯基2009源代码泄露 种子下载
02-02
这份源代码最早由卡巴斯基前员工于2008年窃取,本想在黑市出售,但后来该员工被判处入狱三年。如今,这份源代码被泄漏到BT网站上。  源代码的最后修改日期为2007年12月,从目录树判断,应该是卡巴斯基安全套装...
卡巴斯基代码(Kaspersky Internet Security 8.0)
02-11
这份源代码最早由卡巴斯基前员工于2008年窃取,本想在黑市出售,但后来该员工被判处入狱三年。如今,这份源代码被泄漏到BT网站上。 源代码的最后修改日期为2007年12月,从目录树判断,应该是卡巴斯基安全套装...
SimpleShellcodeInjector:SimpleShellcodeInjector接收十六进制的shellcode作为参数并执行它。 它不会在第三方应用程序中注入shellcode
05-14
它不会将shellcode注入第三方应用程序中,并且对于诸如Get-InjectedThread之类的工具始终处于监视之下。 目前,即使您在不混淆的情况下执行了meterpreter的shellcode,许多防病毒解决方案也无法检测到它。 让我注意...
卡巴斯基代码
10-30
卡巴斯基代码 种子文件~ 300MB大小 卡巴8.0
卡巴斯基3[1].5瑞士版
06-27
卡巴斯基病毒防治软件瑞士版<br/>关于卡巴斯基实验室 <br/><br/>今日卡巴斯基公司 <br/><br/> 我们研发、生产和销售信息安全解决方案,以保护我们的客户免受 IT 威胁并使企事业单位能做风险管理。我们提供的产品可支持单机用户和企业用户防范各种病毒、黑客和垃圾邮件,也提供顾问咨询及技术支持服务。<br/><br/> 卡巴斯基实验室有限制股份公司(简称卡巴斯基公司或卡巴斯基实验室)建立于 1997 年,是国际信息安全软件研发销售商。卡巴斯基公司的总部在俄罗斯首都莫斯科,地区公司在英国、法国、德国、荷兰、波兰、日本、美国和中国。在全球的销售代理公司超过 500 家。<br/><br/> 我们的产品荣获的权威认证包括:西海岸实验室、国际顶级 IT 杂志和测试实验室颁发的奖项。2003 年,卡巴斯基公司成为微软公司安全解决方案的金牌认证伙伴。卡巴斯基公司还是 SUSE 和 Red Hat 的荣誉合作伙伴。卡巴斯基公司的专家活跃在 CARO(Computer Antivirus Research Organization)、ICSA(International Computer Security Association) 等IT业高级协会中。<br/> <br/> <br/> 反病毒领域的专业技能 <br/> <br/> 由 Eugene Kaspersky、Costin Raiu 和 Marc Blanchard 领军的病毒分析实验室在反病毒领域具有十多年的经验,并使他们成为能预见数据安全技术发展趋势的专家。卡巴斯基公司率先开发并创新实施的诸如启发式病毒分析和脚本分析等技术就是证明。这种启发式扫描技术使卡巴斯基公司的产品稳居市场导向的位置。 <br/> <br/> 完整的信息安全解决方案 <br/> <br/> 多年专注于研发反病毒防护使卡巴斯基公司在业内处于技术领先的地位。我们的产品及解决方案可使工作站、文件服务器、电子邮件网关、防火墙和手持设备免受恶意信息威胁。<br/><br/> 我们面向个人用户提供的选择方案有:卡巴斯基单机版反病毒软件、卡巴斯基单机专业版反病毒软件。面向企事业单位用户提供的模块式和完全个性化选择方案有:卡巴斯基反病毒软件商务套装、卡巴斯基反病毒软件企业套装。此外,卡巴斯基反病毒核心技术已被国际著名软件开发商 Aladdin、Nokia ICG、F-Secure、Sybari、G Data、Deerfield、Alt-N、Microworld 和 Borderware 等作为产品的安全解决方案集成到各自的产品中。<br/><br/> 现在,绝大多数软件都是多功能和与互联网资源紧密集成的,传统的反病毒解决方案已无法使用户避免外来的威胁。卡巴斯基公司积极应对需求的变化,成功开发出个人防火墙──卡巴斯基反黑客软件,以及垃圾邮件过滤产品──卡巴斯基反垃圾邮件软件,以反击日益增长的威胁,并完全满足用户的需求。与卡巴斯基反病毒软件一样,上述两个新产品体现了我们多年来的经验和保障您的计算机及网络安全的承诺 。<br/><br/> <br/> 服务 <br/><br/> 卡巴斯基公司提供各种服务,包括适应用户特殊定制的、确保数据安全的服务。我们的服务还包括创新、提供和支持的企事业单位解决方案,提供实时处置咨询服务,以及反病毒数据库常规升级每小时一次,24×365 的包括多种语言的技术支持。<br/> <br/> <br/> 我们的用户 <br/> <br/> 卡巴斯基公司的全线产品可适应我们的用户的所有需求,包括单独的个人用户和大规模的机构用户。如今,包括欧洲空中客车飞机制造公司、英国 Stemcor 公司、英国广播公司、Tatneft 公司、意大利移动通信公司、德国 Faber-Castell 公司、法国电信、美国锐步公司、意大利外交部和法国教育部等许多大型企业、机构都把数据安全的重任托付给卡巴斯基的产品和服务。 <br/> <br/>
如何做好代码审计
最新发布
dexunyun的博客
05-19 878
代码审计,简而言之,是对软件源代码进行系统性、深入性的安全检查和评估。通过代码审计对源代码进行的全面、细致分析,可以发现潜在的安全漏洞、代码缺陷和性能问题,从而帮助开发人员找出潜在的安全风险,并及时修复漏洞,提高软件系统的安全性和稳定性,保护应用程序的安全。总之,在当前安全漏洞频发的背景下,代码审计作为一种有效的安全手段,具有不可替代的重要作用。通过代码审计,我们可以及时发现并修复潜在的安全隐患,提高软件的安全性和稳定性;
卡巴斯基官网免费版
MadCode2222222222222的博客
12-14 2593
步骤:              如果遇到需要卸载电脑自带McAfee软件,请参考百度经验 https://jingyan.baidu.com/album/ceb9fb10ab6db68cad2ba0b0.html?picindex=5 
卡巴斯基2009存放在C:/Documents and Settings/All Users/Application Data/Kaspersky Lab/AVP8/Data中的文件如何删除?
热门推荐
血色残阳的专栏
04-28 1万+
卡巴斯基2009存放在C:/Documents and Settings/All Users/Application Data/Kaspersky Lab/AVP8/Data中的文件如何删除?1.你打开界面-设置-选项-启用自我保护,把这个对号取消掉,保存设置 2.关闭卡巴斯基,是在托盘图标点右键退出 3.进入文件夹删除所有TMP结尾的文件。 4.重新启动卡巴斯基。  C:/Documen
告诉你关于卡巴斯基的三十八个缺点
Penlee's Blog
07-05 6810
查杀病毒方面1. 监控不力,误报率高卡巴斯基的监控防护弱,内存监控和文件监控无法第一时间发现病毒。而在进行全盘杀毒时又经常出现误报的情况,严重影响了用户的日常工作和使用。网络上甚至流传卡巴斯基的杀毒特点为:“宁可错杀千个,不可放过一个”,给用户的日常使用带来了极大的隐患。2. 查杀rar、zip等压缩格式的文件速度慢卡巴斯基在查杀较大压缩包文件真可用漫长来形容。一些技术论坛甚至建议
卡巴斯基界面字符全变成方框的解决办法.
yyusea的博客
01-14 3358
电脑里的卡巴斯基界面上的中文字符突然全变成方框,卸载重装还是那样.  后搜索到一点线索,似乎跟  windows 的 .net framework 的更新有关. 于是卸载了最近安装的一个相关的更新,果然问题解决.
数据中心验证关键:专业第三方、充足预算与时间安排
数据中心的验证工作应由独立且专业的第三方机构执行,这是保证验证质量的首要条件。根据美国绿色建筑委员会(USGBC)的规定,验证机构不应参与数据中心的设计和建造,以确保验证结果的公正性和准确性。这样的第三方...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值