近日，兩名美軍上尉發表論文稱，美軍應成立中央計劃以公布和管理危害美軍系統的軟件漏洞。

洛克·史蒂文斯上尉和邁克爾·威根德說道：“谷歌、臉書、微軟、貝寶等公司運營的漏洞獎勵計劃能夠很好地鼓勵研究人員負責任地揭露漏洞，而美軍應該建立類似的計劃以阻止安全漏洞繼續處于未報告的和未解決狀態。”

據史蒂文斯和威根德所說，美軍已有數個漏洞管理計劃，但這些計劃不允許人員進行合適的測試和使用適當的工具。而對于漏洞報告，有一個標準的操作流程，但并沒有集中跟蹤或管控。

“當前國防部漏洞研究人員的操作環境充滿了危險和恐懼的氛圍。工作人員處于對事后報復的恐懼而不愿意揭露系統內的已知漏洞。”這兩名美軍網絡專家指出。

在“網絡防御述評”網站（Cyber Defense Review）上發表的這篇論文中，史蒂文斯和威根德提出應創建類似私營公司運營的漏洞獎勵計劃的軍方漏洞響應計劃（AVRP）。

“AVRP的作用類似針對美國軍方網絡漏洞的中央報告機制，它將接收會導致美軍系統被攻破的不良配置或安全空白的報告。這些系統包括：軍隊數字化訓練管理系統、軍隊作戰指揮系統、軍隊后勤采購系統和部署在敵對環境里的作戰平臺。研究人員可以通過熱線電話或在線提交門戶網站報告漏洞。AVRP將追蹤所有提交，為受影響的實體提供信息流支持，在解決整個美國政府網絡的漏洞問題中發揮不可或缺的作用。”論文如此寫道。

懷疑是受俄羅斯和中國指使的網絡間諜團伙常常攻擊存放敏感信息的美國政府系統，包括白宮、人事管理局、五角大樓、國務院，甚至軍隊的系統。這兩位美軍網絡安全專家認為，如果政府切實執行了從私營產業中學到的經驗教訓，就有可能避免此類安全事件的發生。

盡管AVRP可能會是主要為國防部人士設計的閉門計劃，該漏洞報告平臺也能被“熱心公民”使用——雖然他們可能不會參與進修復過程。

史蒂文斯和威根德認為，除了知道自己正在用自身技術為國奉獻，軍隊人員應該不需要任何激勵就參與進這項計劃。不過，他們也提出了一系列的非金錢性獎勵，比如：推薦就讀研究生課程、到谷歌、微軟之類的公司進行培訓，以及參加各大安全會議。

作為軍隊運營的漏洞獎勵計劃的補充，兩名專家還建議利用諸如“零日計劃”和Bugcrowd這樣的公司提供的服務。但他們同時也指出，相關花費很可能會相當巨大，因為這些公司不得不為了處理保密的漏洞揭露而改變他們目前的漏洞公布實踐。

國外漏洞眾測平臺Bugcrowd稱自己已經準備為美國軍隊處理這種漏洞獎勵計劃了。

“軍隊不得不考慮引進第三方和自身運營相比會不會開銷巨大的問題。考慮到打造一個成功的漏洞獎勵計劃有很多不同的變量，自身運營可不是一項既定資賦。”Bugcrowd共同創始人兼首席執行官凱西·伊利斯說道，“Bugcrowd是像美國軍方這樣的大規模計劃的理想選擇，尤其是在軍方剛開始試行自己的漏洞獎勵先導計劃的時候會很有幫助。”

“Bugcrowd擁有專有平臺和精于私有企業級漏洞獎勵的精英研究團隊，我們對處理這樣的計劃準備充分。Bugcrowd專精于讓運營漏洞獎勵計劃的團隊獲得成功，最終將會比軍隊自己試圖做成這項計劃花費更少。”