美国国土安全部旗下的网络安全及基础设施安全局(Cybersecurity and Infrastructure Security Agency,CISA),在本周三(9/2)颁布了强制命令(Binding Operational Directive,BOD)20-01,要求所有使用.gov的联邦机构都必须在180天内公布漏洞披露政策(Vulnerability Disclosure Policy,VDP),也应创建安全联系窗口,以方便安全研究人员提交系统漏洞。
CISA网络安全助理局长Bryan Ware表示,当大众有能力作出贡献时,才能让安全更强大,其中的关键因素就是创建一个正式的政策,以协助大众如何合法地发现及举报漏洞。VDP将能鼓励联邦机构与外界创建合作关系,让大众更清楚地知道该如何举报漏洞、哪些系统可以合法进行测试,也能期待之后的交流。
CISA指出,联邦机构应该要了解,任何掌握漏洞信息的人,就算没有事先通知相关机构,随时都能将漏洞信息公诸于世,这样未经协调的披露可能在联邦机构尚未修补前就带来灾难,而且该名人士也可能必须承担法律后果,VDP的主要优点之一就是减轻联邦基础设施与大众的风险,以让联邦机构能够在漏洞公开前及时修补。
该命令着眼于要求美国联邦网站创建一个漏洞提报及回应系统,包括要求每一个拥有对外网站的联邦机构要在30个工作天内提供安全窗口,并于180天发布漏洞披露政策,涵盖漏洞披露范围、允许的测试形态、漏洞提报渠道、能否匿名举报、承诺不对举报者采法律行动、设置回应时间,也应考虑明确说明相关的举报并无奖金。
CISA也说明,VDP类似漏洞挖掘奖励项目,但并无奖励,财政上的补贴可能会吸引人们协助寻找漏洞,但同时也可能让低品质的举报数量大增,尽管漏洞挖掘奖励项目能够强化安全,但该命令并未要求联邦机构提供漏洞挖掘奖金。
CISA将2020年定义为漏洞管理年,除了BOD 20-01之外,今年4月底也曾颁布BOD 19-02,要求美国的各个联邦机构须在发现重大(Critical)风险漏洞的15天内修补该漏洞,而高度(High)风险漏洞的修补期限则是30天。