据FCW网站9月2日报道,美国管理和预算办公室(OMB)和网络安全和基础设施安全局(CISA)分别发布了备忘录和约束性操作指令《制定和发布漏洞披露政策》,指导联邦机构如何设置其漏洞研究和披露程序。
根据CISA指令,在六个月内,各联邦机构必须发布漏洞披露政策,概述所涵盖的系统,外部安全研究人员如何报告,机构将如何以及何时进行响应,以及明确承诺不会针对遵守规则的主体采取法律行动。
而且,这些机构不能要求安全研究人员提供个人身份信息,需允许匿名提交,并且在“合理的时间限制”之外,不得干涉限制研究人员向其他人披露漏洞的行为。
CISA助理总监Bryan Ware表示,CISA将在明年春季建立一个新的漏洞披露平台服务。
九个月后,这些机构必须至少有一个互联网访问系统或服务符合条件,并且在两年之内必须使所有系统符合标准。
OMB 的备忘录规定,机构的计划应与当前的联邦法律以及国际标准(例如由国际标准化组织或国际电工委员会制定的国际标准)紧密结合。
此外,OMB警告,尽管漏洞赏金可以吸引安全研究人员,帮助机构发现软件漏洞,但各机构必须认真评估安全方面可持续发展所需的成本。其表示,目前已经与网络安全和基础设施安全局,及其他机构建立合作关系,主要是为了将该计划大范围推广实行。
参议员Ron Wyden(D-Ore)在一份声明中说:网络安全研究人员自愿发现并报告了威胁美国人安全和隐私的问题,他们实际上提供了很大的公共服务,政府应该对他们表示嘉奖,CISA这一行为可以改善多年来政府机构来起诉网络安全研究人员而造成的负面影响。
参考来源:https://fcw.com/articles/2020/09/02/johnson-vdp-bugs-cisa-omb.aspx