印度电信物联网设备网络安全新规 - 印度国家通信安全中心于2026年3月5日发布了针对第六类设备的《印度电信安全保证要求》通用安全要求文件，其中建议制造商提供源代码以供安全审查 [1] - 该要求规定，源代码应提供给指定的电信安全测试实验室，可在其实验室场所或双方同意的地点进行审查，并可辅以提供软件测试文档 [1] - 该2026年文件针对的第六类设备包括车辆追踪设备、智能电表和反馈设备等物联网设备 [8] 相关法规文件与现状 - 除了2026年的文件，ITSAR已发布或起草了多份寻求源代码访问的文件，包括2025年发布的智能摄像头文件、2024年发布的移动用户设备文件以及2023年关于5G网络网络切片准入控制功能的草案 [9] - 然而，目前所有这些ITSAR文件，包括智能摄像头的要求，均处于草案或已发布模式，尚未进入实施阶段 [6] - 一位政府事务高级主管表示，根据其经验，目前政府并未要求提供源代码，如果引入此类要求将引发严重关切，因为公司无法轻易交出专有代码以保护知识产权 [7] 政府寻求的其他安全评估要求 - 除了源代码，政府还通过技术构造文件来评估硬件设计完整性，该文件包含组件和接口级别的详细信息，旨在确保没有未使用或暴露的接口可供攻击者利用 [11][12] - 政府还从可信供应链角度审查物料清单，仔细检查每个组件的来源、原产国、制造商以及是否来自受批准或受限制的地区 [12] - 安全评估过程还包括漏洞评估报告，原始设备制造商需要分享包含已知漏洞和测试发现问题的详细报告，并提供、实施缓解计划，然后再次分享更新后的报告 [14] 行业观点与挑战 - 行业专家指出，期望软件“零漏洞”是不现实的，漏洞取决于产品使用方式，且软件持续更新，这是一个持续循环的过程，而非一次性任务 [11] - 专家质疑，即使提供固件代码，审查方是否具备深度审计每家原始设备制造商代码的实际能力 [10] - 专家认为，真正的解决方案在于加强并与全球公认的标准（如OWASP Top 10、NIST标准、印度标准局或全球IEC网络安全标准）保持一致，而非另起炉灶 [14]