据FCW网站9月2日报道,美国管理和预算办公室(OMB)和网络安全和基础设施安全局(CISA)分别发布了备忘录和约束性操作指令《制定和发布漏洞披露政策》,指导联邦机构如何设置其漏洞研究和披露程序。
根据CISA指令,在六个月内,各联邦机构必须发布漏洞披露政策,概述所涵盖的系统,外部安全研究人员如何报告,机构将如何以及何时进行响应,以及明确承诺不会针对遵守规则的主体采取法律行动。
而且,这些机构不能要求安全研究人员提供个人身份信息,需允许匿名提交,并且在“合理的时间限制”之外,不得干涉限制研究人员向其他人披露漏洞的行为。
CISA助理总监Bryan Ware表示,CISA将在明年春季建立一个新的漏洞披露平台服务。
九个月后,这些机构必须至少有一个互联网访问系统或服务符合条件,并且在两年之内必须使所有系统符合标准。
OMB 的备忘录规定,机构的计划应与当前的联邦法律以及国际标准(例如由国际标准化组织或国际电工委员会制定的国际标准)紧密结合。
此外,OMB警告,尽管漏洞赏金可以吸引安全研究人员,帮助机构发现软件漏洞,但各机构必须认真评估安全方面可持续发展所需的成本。其表示,目前已经与网络安全和基础设施安全局,及其他机构建立合作关系,主要是为了将该计划大范围推广实行。
参议员Ron Wyden(D-Ore)在一份声明中说:网络安全研究人员自愿发现并报告了威胁美国人安全和隐私的问题,他们实际上提供了很大的公共服务,政府应该对他们表示嘉奖,CISA这一行为可以改善多年来政府机构来起诉网络安全研究人员而造成的负面影响。
参考来源:https://fcw.com/articles/2020/09/02/johnson-vdp-bugs-cisa-omb.aspx
习近平总书记在中共中央政治局第十八次集体学习中指出,要把区块链作为核心技术...
在过去的一年多,数字货币在新闻和投资者眼中都尤为突出,同时也存在很多的障碍...
刚刚过去的2020年,很多科技名词都真正走到了老百姓的日常生活之中。我们习惯了...
根据行长的说法,加密货币资产不具有任何内在价值。Ju-yeol先生承认,美国联邦储...
在科技时代,情侣关系中需要完全数字透明吗?过度分享有多危险? 如果你正在恋爱,...
介绍 INDRIK SPIDER是一个老牌犯罪组织,自2014年以来通过散播Dridex银行木马获...
在对某些可疑账号进行长期的调查之后,Twitter 正式宣布删除他们认为与俄罗斯政...
2020年122起区块链黑客攻击事件共导致损失如今价值38亿美元的资金。 根据Atlas ...
韩国设立加密税备受争论。据最新报告,韩国将从2022年1月1日起对比特币和其他加...
其实针对安防监控网络信息安全问题,早在2011年就引起了行业内重点机构及企业的...