CISA和白宫发布漏洞披露政策：需允许匿名提交

据FCW网站9月2日报道，美国管理和预算办公室(OMB)和网络安全和基础设施安全局(CISA)分别发布了备忘录和约束性操作指令《制定和发布漏洞披露政策》，指导联邦机构如何设置其漏洞研究和披露程序。

让客户满意是我们工作的目标，不断超越客户的期望值来自于我们对这个行业的热爱。我们立志把好的技术通过有效、简单的方式提供给客户，将通过不懈努力成为客户在信息化领域值得信任、有价值的长期合作伙伴，公司提供的服务项目有：域名申请、雅安服务器托管、营销软件、网站建设、昔阳网站维护、网站推广。

根据CISA指令，在六个月内，各联邦机构必须发布漏洞披露政策，概述所涵盖的系统，外部安全研究人员如何报告，机构将如何以及何时进行响应，以及明确承诺不会针对遵守规则的主体采取法律行动。

而且，这些机构不能要求安全研究人员提供个人身份信息，需允许匿名提交，并且在“合理的时间限制”之外，不得干涉限制研究人员向其他人披露漏洞的行为。

CISA助理总监Bryan Ware表示，CISA将在明年春季建立一个新的漏洞披露平台服务。

九个月后，这些机构必须至少有一个互联网访问系统或服务符合条件，并且在两年之内必须使所有系统符合标准。

OMB 的备忘录规定，机构的计划应与当前的联邦法律以及国际标准(例如由国际标准化组织或国际电工委员会制定的国际标准)紧密结合。

此外，OMB警告，尽管漏洞赏金可以吸引安全研究人员，帮助机构发现软件漏洞，但各机构必须认真评估安全方面可持续发展所需的成本。其表示，目前已经与网络安全和基础设施安全局，及其他机构建立合作关系，主要是为了将该计划大范围推广实行。

参议员Ron Wyden(D-Ore)在一份声明中说：网络安全研究人员自愿发现并报告了威胁美国人安全和隐私的问题，他们实际上提供了很大的公共服务，政府应该对他们表示嘉奖，CISA这一行为可以改善多年来政府机构来起诉网络安全研究人员而造成的负面影响。

参考来源：https://fcw.com/articles/2020/09/02/johnson-vdp-bugs-cisa-omb.aspx

新闻名称：CISA和白宫发布漏洞披露政策：需允许匿名提交
当前地址：http://www.stwzsj.com/qtweb/news45/1695.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联