新闻快讯
< >

美国会议员提出“漏洞披露法案” 仍考虑非中立实体授权

E安全5月27日讯 白宫网络安全协调员罗伯·乔伊斯本周在波士顿举办的科技领袖会议上表示,特朗普政府已经在关注一项政策程序改革提议,即决定如何处理新发现的软件零日漏洞。

美国会议员提出“漏洞披露法案”  仍考虑非中立实体授权-E安全

该政策程序被称为“漏洞公平裁决程序”(Vulnerability Equities Process,VEP),规定了政府官员判断是否将漏洞披露给软件制造商的具体方法,以提醒制造商打补丁,确保所有用户安全,或秘密存储并用来监视美国对手。

前政府官员表示,这一程序需要“大动刀”,国会议员于当地时间上周三提出《保护能力,打击黑客法案》(PATCH Act)法案。

PATCH Act法案将解决哪些问题?

PATCH Act在增加VEP监督框架的透明度,并解决当前框架中的棘手问题,包括谁负责多机构审查委员会,负责制定决策以及何时披露漏洞等问题。

此外,该法案还还提供决策制定标准,并描述审查委员会(包括商务部长和国家情报总监)需权衡的考虑。

漏洞公平裁决程序的利弊

乔伊斯称,特朗普政府官员正在与法案的支持者接洽,草案需要进一步修订。政府官员目前正在与国会合作研究PATCH Act。但令他担心的是,立法者在讨论为非中立实体授权的问题。

乔伊斯认为,目前的程序带来平衡效果,该程序已经“倾向于”披露。VEP监督框架如今支持“防御”......因其了解漏洞的重要性,哪些行业在使用,以及即使没有补丁的情况下,是否具有缓解措施?

但政府官员在确定何时需要保留漏洞的问题上,正在做“模糊”决策,因为美国政府需要漏洞提供的网络间谍能力。

目前,VEP由非情报机构官员组成的白宫委员会牵头。自2014年4月以来,所有新的、非公开已知漏洞都提交到了直通白宫的这个程序中。

对手国家或因此受益

前官员将披露更多0day漏洞称之为“单方面裁军”,因为美国的对手将不会“鹦鹉学舌”。

乔伊斯还表示,值得注意的是,对手的情报机构,例如朝鲜、俄罗斯和伊朗并不具有VEP这类程序,这更容易让美国受到伤害。权衡折中并非易事,因此,美国政府制定规则指导机构制定决策。

这些规则可能追溯到过去十年的布什政府时期。

随着网络上泄露一系列强大的NSA黑客工具(利用Windows软件零日漏洞),这些规则就受到新审查。尽管有VEP的相关规定,但NSA却秘密囤积了漏洞,而目前正被网络犯罪分子和黑客大肆利用。

相关阅读:

勒索软件不能避免:微软叫板美国安局NSA,反对囤积漏洞

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。