由数十个联邦文职机构编写,只有少数几个机构有与外部安全研究人员合作的官方程序,以发现和修复软件漏洞-这是一个在私营部门司空见惯的过程。
现在,为了结束拖延,国土安全部的网络安全和基础设施安全局给各机构六个月的时间来建立这些项目,即所谓的漏洞披露政策(VDP)。
中钢协周三发布指令,要求各机构建立VDPS,避免对真诚行事的研究人员采取法律行动,允许参与者匿名提交漏洞报告,并覆盖至少一个互联网可访问的系统或服务。这是联邦官员对各行各业的白帽黑客产生好感的最新迹象。
CISA助理局长布莱恩·S·威尔(Bryan S.Ware)在宣布该指令时表示:“我们认为,只有当人民有机会提供帮助时,政府计算机系统才能实现更好的安全。”
白宫在一份致支持VDP倡议的机构的备忘录中呼应了这一措辞,并为各机构设定了采取行动的最后期限。
“通过明确提供报告机制、及时反馈和补救措施,各机构可以受益于诚信的安全研究,以增强联邦信息系统的安全性,”管理和预算办公室的备忘录说。
联邦政府在VDPS方面的进展一直很缓慢。自从CyberScoop报道CISA正在考虑发布指令以来的10个月里,很少有联邦民事机构采纳了这一计划。
机构将不得不逐步将系统添加到他们的VDP中,直到两年后,机构的所有可上网资产都被该计划覆盖。威尔说,CISA将帮助资源和经验有限的机构建立VDP。
在联邦一级采取VDP的努力与选举基础设施部门逐渐接受VDP的努力不谋而合。今年8月,俄亥俄州成为第一个发布选举相关网站VDP的州。同一周,美国最大的投票设备供应商宣布了自己的VDP。