freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

CISA和白宫发布漏洞披露政策:需允许匿名提交
2020-09-03 17:44:27

据FCW网站9月2日报道,美国管理和预算办公室(OMB)和网络安全和基础设施安全局(CISA)分别发布了备忘录和约束性操作指令《制定和发布漏洞披露政策》,指导联邦机构如何设置其漏洞研究和披露程序。

根据CISA指令,在六个月内,各联邦机构必须发布漏洞披露政策,概述所涵盖的系统,外部安全研究人员如何报告,机构将如何以及何时进行响应,以及明确承诺不会针对遵守规则的主体采取法律行动。

而且,这些机构不能要求安全研究人员提供个人身份信息,需允许匿名提交,并且在“合理的时间限制”之外,不得干涉限制研究人员向其他人披露漏洞的行为。

CISA助理总监Bryan Ware表示,CISA将在明年春季建立一个新的漏洞披露平台服务。

九个月后,这些机构必须至少有一个互联网访问系统或服务符合条件,并且在两年之内必须使所有系统符合标准。

OMB 的备忘录规定,机构的计划应与当前的联邦法律以及国际标准(例如由国际标准化组织或国际电工委员会制定的国际标准)紧密结合。

此外,OMB警告,尽管漏洞赏金可以吸引安全研究人员,帮助机构发现软件漏洞,但各机构必须认真评估安全方面可持续发展所需的成本。其表示,目前已经与网络安全和基础设施安全局,及其他机构建立合作关系,主要是为了将该计划大范围推广实行。

参议员Ron Wyden(D-Ore)在一份声明中说:网络安全研究人员自愿发现并报告了威胁美国人安全和隐私的问题,他们实际上提供了很大的公共服务,政府应该对他们表示嘉奖,CISA这一行为可以改善多年来政府机构来起诉网络安全研究人员而造成的负面影响。

参考来源:

https://fcw.com/articles/2020/09/02/johnson-vdp-bugs-cisa-omb.aspx

# 漏洞
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者