行业新闻与博客

美国网络安全和基础架构安全局（CISA）已发布具有约束力的操作指令（BOD），要求制定和发布漏洞披露政策（VDP）。 

为了保护联邦信息和信息系统，BOD 是向联邦行政部门和机构强制执行的指示。

BOD 20-01 于  昨天正式  定稿，要求大多数行政分支机构创建 VDP 并将其发布为公共网页。代理商在发出指令后的 180 个日历日内必须遵守。

根据指令的条款，VDP 必须包括范围内的系统，允许的漏洞测试的类型以及如何提交漏洞报告的说明。 

机构还必须在其 VDP 中声明“该机构认为对任何人进行安全研究活动不建议或不采取任何法律行动的承诺，是对遵循该政策并认为该活动已获授权的真诚努力。”

该新指令是 CISA 历史上第一个通过公众意见征询得知的 BOD。

CISA 于去年11月征询公众对 BOD 20-01 初稿的反馈。尽管反馈期与美国最繁忙的假期有关，但该机构收到了大量反馈。 

CISA 助理主任布莱恩·韦尔（Bryan Ware）表示：“我们以前从未对指令进行过公开评论，但由于主题是'与公众的协调'，因此值得推荐。” 

“尽管意见征询涵盖了从十一月下旬到一月初的每个假期，但反馈的数量和质量无异于出色。”

CISA 收到了来自 40 多个独特来源的 200 多项建议，这些来源包括个人安全研究人员，学者，联邦机构，技术公司，民间社会和国会的一些成员。

Ware 说：“每个人都改进了指令草案，其实施指南以及我们的 VDP 模板。” 

“有几份意见书询问了代理商向公众提供的移动应用程序是否将在代理商 VDP 的范围内。这是我们之前从未考虑过的，而且我们也同意。”

HackerOne 首席技术官兼联合创始人亚历克斯·赖斯（Alex Rice）将最终指令描述为“恢复对数字民主的信任并保护联邦信息系统的完整性的关键里程碑。”

本文由机器译制