據(jù)FCW網(wǎng)站9月2日?qǐng)?bào)道，美國(guó)管理和預(yù)算辦公室(OMB)和網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)分別發(fā)布了備忘錄和約束性操作指令《制定和發(fā)布漏洞披露政策》，指導(dǎo)聯(lián)邦機(jī)構(gòu)如何設(shè)置其漏洞研究和披露程序。

[[340652]]

根據(jù)CISA指令，在六個(gè)月內(nèi)，各聯(lián)邦機(jī)構(gòu)必須發(fā)布漏洞披露政策，概述所涵蓋的系統(tǒng)，外部安全研究人員如何報(bào)告，機(jī)構(gòu)將如何以及何時(shí)進(jìn)行響應(yīng)，以及明確承諾不會(huì)針對(duì)遵守規(guī)則的主體采取法律行動(dòng)。

而且，這些機(jī)構(gòu)不能要求安全研究人員提供個(gè)人身份信息，需允許匿名提交，并且在“合理的時(shí)間限制”之外，不得干涉限制研究人員向其他人披露漏洞的行為。

CISA助理總監(jiān)Bryan Ware表示，CISA將在明年春季建立一個(gè)新的漏洞披露平臺(tái)服務(wù)。

九個(gè)月后，這些機(jī)構(gòu)必須至少有一個(gè)互聯(lián)網(wǎng)訪問(wèn)系統(tǒng)或服務(wù)符合條件，并且在兩年之內(nèi)必須使所有系統(tǒng)符合標(biāo)準(zhǔn)。

OMB 的備忘錄規(guī)定，機(jī)構(gòu)的計(jì)劃應(yīng)與當(dāng)前的聯(lián)邦法律以及國(guó)際標(biāo)準(zhǔn)(例如由國(guó)際標(biāo)準(zhǔn)化組織或國(guó)際電工委員會(huì)制定的國(guó)際標(biāo)準(zhǔn))緊密結(jié)合。

此外，OMB警告，盡管漏洞賞金可以吸引安全研究人員，幫助機(jī)構(gòu)發(fā)現(xiàn)軟件漏洞，但各機(jī)構(gòu)必須認(rèn)真評(píng)估安全方面可持續(xù)發(fā)展所需的成本。其表示，目前已經(jīng)與網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局，及其他機(jī)構(gòu)建立合作關(guān)系，主要是為了將該計(jì)劃大范圍推廣實(shí)行。

參議員Ron Wyden(D-Ore)在一份聲明中說(shuō)：網(wǎng)絡(luò)安全研究人員自愿發(fā)現(xiàn)并報(bào)告了威脅美國(guó)人安全和隱私的問(wèn)題，他們實(shí)際上提供了很大的公共服務(wù)，政府應(yīng)該對(duì)他們表示嘉獎(jiǎng)，CISA這一行為可以改善多年來(lái)政府機(jī)構(gòu)來(lái)起訴網(wǎng)絡(luò)安全研究人員而造成的負(fù)面影響。

參考來(lái)源：https://fcw.com/articles/2020/09/02/johnson-vdp-bugs-cisa-omb.aspx