GSA 阻止参议员审查用于批准 Zoom 供政府使用的文件

据报道，美国总务管理局拒绝了参议员要求审查Zoom提交的文件，以使其软件获准在联邦政府中使用。

该否认是对民主党参议员罗恩·怀登(RonWyden)于5月致GSA的一封信的回应，信中表达了对GSA批准Zoom供联邦机构使用的担忧，几周前该应用程序中发现了一个主要的安全漏洞。

Wyden表示，该漏洞的发现引发了“对FedRAMP审计质量的严重质疑”。

Zoom在获得FedRAMP授权后于2019年4月获准在政府部门运营，该计划由GSA运营，确保云服务符合一套标准化的安全要求，旨在加强服务免受一些最常见威胁的影响。未经此授权，联邦机构不能使用未经许可的云产品或技术。

几个月后，在安全研究人员发现一个漏洞后，Zoom被迫修补其Mac应用程序，该漏洞可能被滥用，未经用户许可远程打开用户的网络摄像头。由于用户即使在卸载Zoom后仍受到这些漏洞的影响，Apple被迫进行干预。随着大流行的蔓延和封锁的实施，Zoom的受欢迎程度猛增——审查也是如此——包括记者的一项技术分析，该分析发现Zoom并没有像公司长期以来声称的那样真正进行端到端加密。

Wyden写信给GSA说，他对Zoom清除后发现的安全漏洞“极为担忧”。在信中，这位参议员要求Zoom作为FedRAMP授权流程的一部分提交的称为“安全包”的文件，以了解GSA如何以及为何清除该应用程序。

GSA在2020年7月拒绝了Wyden的第一次请求，理由是他不是委员会主席。在新的拜登政府中，怀登被任命为参议院财政委员会主席，并再次要求Zoom的安全方案。

但在上个月底寄给Wyden办公室的一封新信中，GSA以安全问题为由第二次拒绝了这一请求。

“您请求的安全包包含与ZoomforGovernment产品相关的安全性相关的高度敏感的专有和其他机密信息。保护这些信息对于维护产品及其托管的任何政府数据的完整性至关重要，”GSA的信中说。“根据我们的审查，GSA认为Zoom安全包的披露会造成重大的安全风险。”

在回应GSA的来信时，Wyden告诉TechCrunch，他担心其他有缺陷的软件可能已被批准在整个政府中使用。

“GSA的FedRAMP计划的意图是好的——消除繁文缛节，这样多个联邦机构就不必审查同一软件的安全性。但至关重要的是，无论哪个机构进行审查，都要彻底进行审查，”怀登说。“我担心政府对Zoom的审计漏掉了随后被安全研究人员发现和暴露的严重网络安全漏洞。GSA拒绝与国会分享Zoom审计，这让人质疑GSA已批准供联邦使用的其他软件产品的安全性。”

在与我们交谈过的对FedRAMP流程有第一手了解的人中，无论是作为政府雇员还是作为通过认证的公司，FedRAMP被描述为一份全面但绝不是详尽的公司必须满足的检查清单以满足联邦政府的安全要求。

其他人表示，该过程有其局限性，将受益于改革。一位了解FedRAMP工作原理的人士表示，该过程不是对产品源代码的完整审核，而是类似于最佳实践和满足合规性要求的清单。这位人士说，这在很大程度上取决于对供应商的信任，并将其描述为“一种荣誉制度”。另一位人士表示，FedRAMP流程无法捕获所有漏洞，拜登总统本周采取的旨在现代化和改进FedRAMP流程的行政行动证明了这一点。

与我们交谈过的大多数人都对Wyden的办公室拒绝了这一请求并不感到惊讶，理由是公司的FedRAMP安全包很敏感。

知情人士表示，通过认证过程的公司必须提供有关其产品安全性的高度技术性细节，如果暴露这些细节几乎肯定会对公司造成损害。其中一位知情人士说，了解可能存在的安全漏洞可能会提示网络犯罪分子。他们补充说，公司通常会在FedRAMP审计之前花费数百万美元来提高他们的安全性，但如果他们认为他们的商业秘密会被泄露，他们不会冒险通过认证。

当GSA询问为什么反对Wyden的请求时，Zoom的美国政府关系负责人LaurenBelive辩称，移交安全方案“将开创一个危险的先例，破坏公司对FedRAMP流程的特殊信任和信心”。

GSA严格控制谁可以访问FedRAMP安全包。您需要一个联邦政府或军方电子邮件地址，参议员办公室有该地址。但GSA拒绝Wyden请求的原因仍不清楚，而且当到达时GSA发言人不会解释国会议员如何获得公司的FedRAMP安全包

“GSA重视与国会的关系，并将继续与参议员Wyden和我们的管辖委员会合作，以提供有关我们的计划和运营的适当信息，”GSA发言人ChristinaWilkes说，并补充说：GSA与私营部门合作伙伴密切合作，通过[FedRAMP]为云服务的安全授权提供标准化方法。Zoom的FedRAMP安全包和相关文档提供了与ZoomforGovernment产品相关的安全措施的详细信息。GSA在敏感安全和商业机密信息方面的一贯做法是，在没有具有管辖权的国会委员会的正式书面请求的情况下，以及根据对信息的进一步传播或发布的控制，扣留材料。

GSA不会说明哪个国会委员会拥有管辖权或Wyden作为参议院财政委员会主席的角色是否足够，该机构也不会回答Wyden提出的有关FedRAMP流程有效性的问题。

Zoom发言人KelseyKnight表示，像Zoom这样的云公司“向GSA提供专有和机密信息，作为FedRAMP授权流程的一部分，并理解这些信息将仅用于他们做出授权决定。虽然我们认为Zoom的FedRAMP安全包不应超出这一狭隘目的而披露，但我们欢迎与立法者和其他利益相关者就ZoomforGovernment的安全性进行对话。”

Zoom表示，它“致力于安全增强以不断改进其产品”，并在2020年和2021年获得FedRAMP重新授权，作为其年度更新的一部分。该公司拒绝透露作为FedRAMP流程的一部分对Zoom应用程序进行了何种程度的审计。

超过两个联邦机构使用Zoom，包括国防部、国土安全部、美国海关和边境保护局以及总统行政办公室。