按Enter到主內容區

美國國土安全部規定所有聯邦機構須在半年內公布漏洞揭露政策

  • 發布日期:109-12-04
  • 發布單位:刑事警察大隊

參考網站:
行政院國家資通安全會報技術服務中心  美國國土安全部規定所有聯邦機構須在半年內公布漏洞揭露政策
https://www.nccst.nat.gov.tw/NewsRSSDetail?lang=zh&RSSType=news&seq=16454

美國國土安全部之網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency, CISA)於9月2日頒布強制命令(Binding Operational Directive, BOD)20-01,要求所有使用.gov之聯邦機構須於180天內公布漏洞揭露政策(Vulnerability Disclosure Policy, VDP),包括建立資通安全聯繫窗口,以利安全研究人員提交系統漏洞。

CISA網路安全副總監(Assistant Director for Cybersecurity) Bryan Ware表示,當大眾有能力作出貢獻時,才能促使資通安全更加全面,關鍵因素為建立正式政策,以協助大眾合法地發現與舉報漏洞。VDP政策鼓勵聯邦機構與外界建立合作關係,讓大眾更清楚地知道該如何舉報漏洞,並了解哪些系統可以合法進行測試。
 
該命令著眼於要求所有美國聯邦機構建立漏洞提報與回應機制,包括每一個擁有對外網站之聯邦機構須於30個工作天內提供資通安全聯繫窗口,並於180天內發布漏洞揭露政策,內容涵蓋漏洞揭露範圍、漏洞提報管道、能否匿名舉報、承諾不對舉報者採法律行動及設定回應時間等。

CISA指出,VDP如同抓漏獎勵專案(Vulnerability Reward Program),但並無獎勵,利用獎勵機制可能會吸引大眾協助尋找漏洞,但同時亦可能使低品質之舉報數量大增,儘管抓漏獎勵專案能夠強化安全,但此一命令並未要求聯邦機構提供抓漏獎金。