據(jù)FCW網(wǎng)站9月2日報道，美國管理和預(yù)算辦公室（OMB）和網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）分別發(fā)布了備忘錄和約束性操作指令《制定和發(fā)布漏洞披露政策》，指導(dǎo)聯(lián)邦機構(gòu)如何設(shè)置其漏洞研究和披露程序。

根據(jù)CISA指令，在六個月內(nèi)，各聯(lián)邦機構(gòu)必須發(fā)布漏洞披露政策，概述所涵蓋的系統(tǒng)，外部安全研究人員如何報告，機構(gòu)將如何以及何時進行響應(yīng)，以及明確承諾不會針對遵守規(guī)則的主體采取法律行動。

而且，這些機構(gòu)不能要求安全研究人員提供個人身份信息，需允許匿名提交，并且在“合理的時間限制”之外，不得干涉限制研究人員向其他人披露漏洞的行為。

CISA助理總監(jiān)Bryan Ware表示，CISA將在明年春季建立一個新的漏洞披露平臺服務(wù)。

九個月后，這些機構(gòu)必須至少有一個互聯(lián)網(wǎng)訪問系統(tǒng)或服務(wù)符合條件，并且在兩年之內(nèi)必須使所有系統(tǒng)符合標準。

OMB 的備忘錄規(guī)定，機構(gòu)的計劃應(yīng)與當(dāng)前的聯(lián)邦法律以及國際標準（例如由國際標準化組織或國際電工委員會制定的國際標準）緊密結(jié)合。

此外，OMB警告，盡管漏洞賞金可以吸引安全研究人員，幫助機構(gòu)發(fā)現(xiàn)軟件漏洞，但各機構(gòu)必須認真評估安全方面可持續(xù)發(fā)展所需的成本。其表示，目前已經(jīng)與網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局，及其他機構(gòu)建立合作關(guān)系，主要是為了將該計劃大范圍推廣實行。

參議員Ron Wyden（D-Ore）在一份聲明中說：網(wǎng)絡(luò)安全研究人員自愿發(fā)現(xiàn)并報告了威脅美國人安全和隱私的問題，他們實際上提供了很大的公共服務(wù)，政府應(yīng)該對他們表示嘉獎，CISA這一行為可以改善多年來政府機構(gòu)來起訴網(wǎng)絡(luò)安全研究人員而造成的負面影響。
責(zé)編AJX