美國會議員提出「漏洞披露法案」 仍考慮非中立實體授權

更多全球網路安全資訊盡在E安全官網www.easyaq.com

E安全5月27日訊 白宮網路安全協調員羅伯·喬伊斯本周在波士頓舉辦的科技領袖會議上表示，特朗普政府已經在關注一項政策程序改革提議，即決定如何處理新發現的軟體零日漏洞。

該政策程序被稱為「漏洞公平裁決程序」（Vulnerability Equities Process，VEP），規定了政府官員判斷是否將漏洞披露給軟體製造商的具體方法，以提醒製造商打補丁，確保所有用戶安全，或秘密存儲並用來監視美國對手。

前政府官員表示，這一程序需要「大動刀」，國會議員於當地時間上周三提出《保護能力，打擊黑客法案》（PATCH Act）法案。

PATCH Act法案將解決哪些問題？

PATCH Act在增加VEP監督框架的透明度，並解決當前框架中的棘手問題，包括誰負責多機構審查委員會，負責制定決策以及何時披露漏洞等問題。

此外，該法案還還提供決策制定標準，並描述審查委員會（包括商務部長和國家情報總監）需權衡的考慮。

漏洞公平裁決程序的利弊

喬伊斯稱，特朗普政府官員正在與法案的支持者接洽，草案需要進一步修訂。政府官員目前正在與國會合作研究PATCH Act。但令他擔心的是，立法者在討論為非中立實體授權的問題。

喬伊斯認為，目前的程序帶來平衡效果，該程序已經「傾向於」披露。VEP監督框架如今支持「防禦」......因其了解漏洞的重要性，哪些行業在使用，以及即使沒有補丁的情況下，是否具有緩解措施？

但政府官員在確定何時需要保留漏洞的問題上，正在做「模糊」決策，因為美國政府需要漏洞提供的網路間諜能力。

目前，VEP由非情報機構官員組成的白宮委員會牽頭。自2014年4月以來，所有新的、非公開已知漏洞都提交到了直通白宮的這個程序中。

對手國家或因此受益

前官員將披露更多零日漏洞稱之為「單方面裁軍」，因為美國的對手將不會「鸚鵡學舌」。

喬伊斯還表示，值得注意的是，對手的情報機構，例如朝鮮、俄羅斯和伊朗並不具有VEP這類程序，這更容易讓美國受到傷害。權衡折中並非易事，因此，美國政府制定規則指導機構制定決策。

這些規則可能追溯到過去十年的布希政府時期。

隨著網路上泄露一系列強大的NSA黑客工具（利用Windows軟體零日漏洞），這些規則就受到新審查。儘管有VEP的相關規定，但NSA卻秘密囤積了漏洞，而目前正被網路犯罪分子和黑客大肆利用。

相關閱讀：勒索軟體不能避免：微軟叫板美國安局NSA，反對囤積漏洞，長按識別下方二維碼查看詳情。

27

E安全要聞簡訊

2017年5月

01

研究人員發現安卓設備全新惡意軟體"斗篷與匕首"

02

[視頻]用掃描儀控制惡意程序從隔離的網路中獲取數據

03

威脅情報公司:勒索軟體WannaCry幕後開發者或來自中文國家

04

FBI非法向第三方分享了其收集到的美國人數據

05

網路安全受量子計算影響還遠嗎？未來將面臨這些威脅

06

美國會議員提出「漏洞披露法案」 仍考慮非中立實體授權

07

馬民虎：《網路安全法》的意義

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！