给白帽子撑腰，美国政府要求民间机构设立白帽友好的漏洞披露策略

联邦政府在与外界安全研究人员接洽的问题上，常持戒备或好讼的态度。

美国政府的网络安全机构，网络安全与基础设施安全局 (CISA) 日前发布了一份指令草案，要求所有民间机构设立安全研究人员友好的漏洞披露策略，以便白帽黑客能够有明确的过程可以供他们踊跃报告漏洞。

正如 CISA 指出的：大多数联邦机构缺乏正式的机制来接收第三方关于自身系统中潜在安全漏洞的信息。很多机构没有确定的策略处理外部人员共享的此类问题报告。仅有少数机构明确声明授权此类出于好意的漏洞披露。

在 11 月 27 日发布的指令草案中，该成立于 2018 年的联邦机构称：这些因素构成了延迟或打消公众向政府报告潜在信息安全问题的环境，有碍于被利用或公开披露前发现及修复这些问题。

漏洞披露策略

找到公司内在线基础设施漏洞的安全人员，即便是最好情况下，也会发现自己的报告之路困难重重。（最坏情况下就有可能面临法律威胁和恐吓；没人愿意被曝光存在漏洞，黑客友好的文化依然十分稀缺。）

CISA 在草案中承认了这个问题，称：安全社区很多人都认为，联邦政府在与外界安全研究人员接洽的问题上，常持戒备的态度。让情况更加复杂的是，很多政府信息系统都附有措辞强硬的法律声明，警告访问者不得非授权使用。缺乏明确友善的保证欢迎并授权出于好心的安全研究，研究人员就可能恐惧法律报复，有些干脆就选择不报告了。

大多数具备前瞻性思维的企业现在都认识到，已出现活跃的有益黑客生态系统，而非以往惯常认知中的捣蛋黑客。但尽管漏洞奖励项目兴盛不衰，仍然不乏企业和公共事业机构仍旧缺乏漏洞披露策略、门户，或者安全文化。

从发布之日起截止 2019 年 12 月 27 日，CISA 都在征集对此指令草案的意见。作为标准，该指令要求每个机构都发展并发布漏洞披露策略 (VDP)，保持支持处理程序。正如 CISA 指出的：通过鼓励联邦机构与公众间有意义的协作，漏洞披露策略可以增强政府在线服务的弹性。这有助于保护公众交托给政府的信息，并赋予联邦网络安全团队更多的数据以保护他们的机构。

该举措将受到安全公司和安全研究人员的强烈欢迎。而在大西洋彼岸的英国，政府机构在设置此类漏洞奖励项目上向来以迟缓著称；尽管英国国家网络安全中心 (NCSC) 在 2018 年12 月就设置了门户网站，允许安全研究人员直接向其报告公共机构漏洞。

正如该机构在去年指出的：修复安全漏洞最快的方式，就是向其系统拥有者报告。但不得不承认，很难找到正确的联系人。因此，研究人员现在可以向 NCSC 报告漏洞。

安全公司 Qualys 欧洲、中东与亚洲首席技术官 Marco Rottigni 向媒体透露：Qualys 很支持为遵从这项指令设置精准的时间线（如180天）。此类主动性压力是非常有必要的。

美国政府网络安全机构 CISA 指令草案：

https://cyber.dhs.gov/bod/20-01/

◆来源：安全牛

◆本文版权归原作者所有，如有侵权请联系我们及时删除