白宮網(wǎng)絡(luò)安全協(xié)調(diào)員羅伯·喬伊斯本周在波士頓舉辦的科技領(lǐng)袖會(huì)議上表示，特朗普政府已經(jīng)在關(guān)注一項(xiàng)政策程序改革提議，即決定如何處理新發(fā)現(xiàn)的軟件零日漏洞。

該政策程序被稱為“漏洞公平裁決程序”(Vulnerability Equities Process，VEP)，規(guī)定了政府官員判斷是否將漏洞披露給軟件制造商的具體方法，以提醒制造商打補(bǔ)丁，確保所有用戶安全，或秘密存儲(chǔ)并用來(lái)監(jiān)視美國(guó)對(duì)手。

前政府官員表示，這一程序需要“大動(dòng)刀”，國(guó)會(huì)議員于當(dāng)?shù)貢r(shí)間上周三提出《保護(hù)能力，打擊黑客法案》(PATCH Act)法案。

PATCH Act法案將解決哪些問(wèn)題?

PATCH Act在增加VEP監(jiān)督框架的透明度，并解決當(dāng)前框架中的棘手問(wèn)題，包括誰(shuí)負(fù)責(zé)多機(jī)構(gòu)審查委員會(huì)，負(fù)責(zé)制定決策以及何時(shí)披露漏洞等問(wèn)題。

此外，該法案還還提供決策制定標(biāo)準(zhǔn)，并描述審查委員會(huì)(包括商務(wù)部長(zhǎng)和國(guó)家情報(bào)總監(jiān))需權(quán)衡的考慮。

漏洞公平裁決程序的利弊

喬伊斯稱，特朗普政府官員正在與法案的支持者接洽，草案需要進(jìn)一步修訂。政府官員目前正在與國(guó)會(huì)合作研究PATCH Act。但令他擔(dān)心的是，立法者在討論為非中立實(shí)體授權(quán)的問(wèn)題。

喬伊斯認(rèn)為，目前的程序帶來(lái)平衡效果，該程序已經(jīng)“傾向于”披露。VEP監(jiān)督框架如今支持“防御”......因其了解漏洞的重要性，哪些行業(yè)在使用，以及即使沒(méi)有補(bǔ)丁的情況下，是否具有緩解措施?

但政府官員在確定何時(shí)需要保留漏洞的問(wèn)題上，正在做“模糊”決策，因?yàn)槊绹?guó)政府需要漏洞提供的網(wǎng)絡(luò)間諜能力。

目前，VEP由非情報(bào)機(jī)構(gòu)官員組成的白宮委員會(huì)牽頭。自2014年4月以來(lái)，所有新的、非公開(kāi)已知漏洞都提交到了直通白宮的這個(gè)程序中。

對(duì)手國(guó)家或因此受益

前官員將披露更多0day漏洞稱之為“單方面裁軍”，因?yàn)槊绹?guó)的對(duì)手將不會(huì)“鸚鵡學(xué)舌”。

喬伊斯還表示，值得注意的是，對(duì)手的情報(bào)機(jī)構(gòu)，例如朝鮮、俄羅斯和伊朗并不具有VEP這類(lèi)程序，這更容易讓美國(guó)受到傷害。權(quán)衡折中并非易事，因此，美國(guó)政府制定規(guī)則指導(dǎo)機(jī)構(gòu)制定決策。

這些規(guī)則可能追溯到過(guò)去十年的布什政府時(shí)期。

隨著網(wǎng)絡(luò)上泄露一系列強(qiáng)大的NSA黑客工具(利用Windows軟件零日漏洞)，這些規(guī)則就受到新審查。盡管有VEP的相關(guān)規(guī)定，但NSA卻秘密囤積了漏洞，而目前正被網(wǎng)絡(luò)犯罪分子和黑客大肆利用。

本文轉(zhuǎn)自d1net（轉(zhuǎn)載）

總結(jié)

以上是生活随笔為你收集整理的美国会议员提出“漏洞披露法案” 仍考虑非中立实体授权的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。