據(jù)FCW網(wǎng)站9月2日報道，美國管理和預算辦公室（OMB）和網(wǎng)絡安全和基礎設施安全局（CISA）分別發(fā)布了備忘錄和約束性操作指令《制定和發(fā)布漏洞披露政策》，指導聯(lián)邦機構如何設置其漏洞研究和披露程序。

根據(jù)CISA指令，在六個月內，各聯(lián)邦機構必須發(fā)布漏洞披露政策，概述所涵蓋的系統(tǒng)，外部安全研究人員如何報告，機構將如何以及何時進行響應，以及明確承諾不會針對遵守規(guī)則的主體采取法律行動。

而且，這些機構不能要求安全研究人員提供個人身份信息，需允許匿名提交，并且在“合理的時間限制”之外，不得干涉限制研究人員向其他人披露漏洞的行為。

CISA助理總監(jiān)Bryan Ware表示，CISA將在明年春季建立一個新的漏洞披露平臺服務。

九個月后，這些機構必須至少有一個互聯(lián)網(wǎng)訪問系統(tǒng)或服務符合條件，并且在兩年之內必須使所有系統(tǒng)符合標準。

OMB 的備忘錄規(guī)定，機構的計劃應與當前的聯(lián)邦法律以及國際標準（例如由國際標準化組織或國際電工委員會制定的國際標準）緊密結合。

此外，OMB警告，盡管漏洞賞金可以吸引安全研究人員，幫助機構發(fā)現(xiàn)軟件漏洞，但各機構必須認真評估安全方面可持續(xù)發(fā)展所需的成本。其表示，目前已經(jīng)與網(wǎng)絡安全和基礎設施安全局，及其他機構建立合作關系，主要是為了將該計劃大范圍推廣實行。

參議員Ron Wyden（D-Ore）在一份聲明中說：網(wǎng)絡安全研究人員自愿發(fā)現(xiàn)并報告了威脅美國人安全和隱私的問題，他們實際上提供了很大的公共服務，政府應該對他們表示嘉獎，CISA這一行為可以改善多年來政府機構來起訴網(wǎng)絡安全研究人員而造成的負面影響。
責編AJX