美国政府发布联邦机构强制性漏洞披露政策

FCW网站9月2日消息，管理和预算办公室（OMB）和网络安全和基础设施安全局（CISA）分别发布了备忘录和约束性操作指令《制定和发布漏洞披露政策》，指导联邦机构如何设置其漏洞研究和披露程序。

根据CISA指令，在六个月内，各联邦机构必须发布漏洞披露政策，概述所涵盖的系统，外部安全研究人员如何报告，机构将如何以及何时进行响应，以及明确承诺不会针对遵守规则的主体采取法律行动。CISA助理总监Bryan Ware表示，CISA将在明年春季建立一个新的漏洞披露平台服务。

OMB备忘录为联邦机构提供有关获取和管理其漏洞研究程序的指南。备忘录规定，代理机构计划应与当前的联邦法律以及国际标准（例如国际标准化组织或国际电工委员会制定的国际标准）紧密结合。OMB警告称，尽管漏洞赏金计划是有效的，但各个机构必须“认真权衡强大而可持续的计划所需的成本、组织能力和成熟度。”

编译 | 贺佳瀛/赛博研究院研究员

声明：本文来自赛博研究院，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。