美國國土安全部規定所有聯邦機構須在半年內公布漏洞揭露政策
參考網站: 美國國土安全部之網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency, CISA)於9月2日頒布強制命令(Binding Operational Directive, BOD)20-01,要求所有使用.gov之聯邦機構須於180天內公布漏洞揭露政策(Vulnerability Disclosure Policy, VDP),包括建立資通安全聯繫窗口,以利安全研究人員提交系統漏洞。 CISA網路安全副總監(Assistant Director for Cybersecurity) Bryan Ware表示,當大眾有能力作出貢獻時,才能促使資通安全更加全面,關鍵因素為建立正式政策,以協助大眾合法地發現與舉報漏洞。VDP政策鼓勵聯邦機構與外界建立合作關係,讓大眾更清楚地知道該如何舉報漏洞,並了解哪些系統可以合法進行測試。 CISA指出,VDP如同抓漏獎勵專案(Vulnerability Reward Program),但並無獎勵,利用獎勵機制可能會吸引大眾協助尋找漏洞,但同時亦可能使低品質之舉報數量大增,儘管抓漏獎勵專案能夠強化安全,但此一命令並未要求聯邦機構提供抓漏獎金。 |