白宮網(wǎng)絡安全協(xié)調員羅伯·喬伊斯本周在波士頓舉辦的科技領袖會議上表示，特朗普政府已經(jīng)在關注一項政策程序改革提議，即決定如何處理新發(fā)現(xiàn)的軟件零日漏洞。

該政策程序被稱為“漏洞公平裁決程序”(Vulnerability Equities Process，VEP)，規(guī)定了政府官員判斷是否將漏洞披露給軟件制造商的具體方法，以提醒制造商打補丁，確保所有用戶安全，或秘密存儲并用來監(jiān)視美國對手。

前政府官員表示，這一程序需要“大動刀”，國會議員于當?shù)貢r間上周三提出《保護能力，打擊黑客法案》(PATCH Act)法案。

PATCH Act法案將解決哪些問題?

PATCH Act在增加VEP監(jiān)督框架的透明度，并解決當前框架中的棘手問題，包括誰負責多機構審查委員會，負責制定決策以及何時披露漏洞等問題。

此外，該法案還還提供決策制定標準，并描述審查委員會(包括商務部長和國家情報總監(jiān))需權衡的考慮。

漏洞公平裁決程序的利弊

喬伊斯稱，特朗普政府官員正在與法案的支持者接洽，草案需要進一步修訂。政府官員目前正在與國會合作研究PATCH Act。但令他擔心的是，立法者在討論為非中立實體授權的問題。

喬伊斯認為，目前的程序帶來平衡效果，該程序已經(jīng)“傾向于”披露。VEP監(jiān)督框架如今支持“防御”......因其了解漏洞的重要性，哪些行業(yè)在使用，以及即使沒有補丁的情況下，是否具有緩解措施?

但政府官員在確定何時需要保留漏洞的問題上，正在做“模糊”決策，因為美國政府需要漏洞提供的網(wǎng)絡間諜能力。

目前，VEP由非情報機構官員組成的白宮委員會牽頭。自2014年4月以來，所有新的、非公開已知漏洞都提交到了直通白宮的這個程序中。

對手國家或因此受益

前官員將披露更多0day漏洞稱之為“單方面裁軍”，因為美國的對手將不會“鸚鵡學舌”。

喬伊斯還表示，值得注意的是，對手的情報機構，例如朝鮮、俄羅斯和伊朗并不具有VEP這類程序，這更容易讓美國受到傷害。權衡折中并非易事，因此，美國政府制定規(guī)則指導機構制定決策。

這些規(guī)則可能追溯到過去十年的布什政府時期。

隨著網(wǎng)絡上泄露一系列強大的NSA黑客工具(利用Windows軟件零日漏洞)，這些規(guī)則就受到新審查。盡管有VEP的相關規(guī)定，但NSA卻秘密囤積了漏洞，而目前正被網(wǎng)絡犯罪分子和黑客大肆利用。

本文轉自d1net（轉載）

總結

以上是生活随笔為你收集整理的美国会议员提出“漏洞披露法案” 仍考虑非中立实体授权的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內容還不錯，歡迎將生活随笔推薦給好友。