本周一，美國國防部公布“漏洞披露政策”，允許自由安全研究人員通過合法途徑披露國防部公眾系統(tǒng)存在的任何漏洞。這項(xiàng)“漏洞披露政策”（Vulnerability Disclosure Policy）旨在允許黑客在不觸犯法律的前提下訪問并探尋政府系統(tǒng)。國防部長Ash Carter在博文中表示，“我們希望該項(xiàng)政策使漏洞源源不斷披露，從而便于我們迅速發(fā)現(xiàn)并修復(fù)漏洞。最終使國防部、服務(wù)人員以及公眾會(huì)更為安全。”該項(xiàng)目由HackerOne公司管理。今年早些時(shí)候，Hackerone曾負(fù)責(zé)管理國防部“黑掉五角大樓”試點(diǎn)項(xiàng)目。

上月，HackerOne和Redwood City贏得該項(xiàng)目合同。按照合同規(guī)定，眾包安全研究人員可以使用國防部的應(yīng)用程序、網(wǎng)站和網(wǎng)絡(luò)，尋找漏洞。

周一也是Hackerone懸賞項(xiàng)目“黑掉軍隊(duì)”（Hack the Army）的首個(gè)注冊日。該項(xiàng)目針對面向公眾的軍隊(duì)網(wǎng)站。

Carter寫到，“漏洞披露政策”和“黑掉軍隊(duì)”項(xiàng)目表明國防部致力創(chuàng)新并采用商業(yè)最佳實(shí)踐。國防部一直專注于安全現(xiàn)代化，并尋求方式挖掘人才資源。

軍隊(duì)不是采用漏洞賞金計(jì)劃的唯一政府部門。上周，美國國稅局宣布與Synack達(dá)成協(xié)議，在允許黑客進(jìn)入并探索政府系統(tǒng)之前，會(huì)進(jìn)行審查。Synack稱，與傳統(tǒng)大眾漏洞賞金項(xiàng)目不同的是，該項(xiàng)目會(huì)嚴(yán)厲審查并追蹤白帽子黑客，確保客戶對所有Synack“紅隊(duì)”活動(dòng)持續(xù)可見并進(jìn)行管理。

該項(xiàng)目可謂順應(yīng)趨勢。技術(shù)行業(yè)外的組織機(jī)構(gòu)也允許自由黑客發(fā)現(xiàn)系統(tǒng)漏洞，并進(jìn)行懸賞。

美國國防部安全漏洞披露政策

目的

此項(xiàng)政策的目的在于為安全研究人員的漏洞發(fā)現(xiàn)活動(dòng)提供明確的指導(dǎo)方針，契合美國國防部的網(wǎng)絡(luò)屬性并將所發(fā)現(xiàn)的漏洞結(jié)論提交至國防部。

概述

在美國國防部，維持網(wǎng)絡(luò)安全性是一項(xiàng)高優(yōu)先級事務(wù)。我們的信息技術(shù)為美國軍方服役人員、軍人家屬以及國防部員工及承包商提供多種關(guān)鍵性服務(wù)。最終，我們的網(wǎng)絡(luò)安全性能夠確保我們得以完成自身使命并保衛(wèi)美利堅(jiān)合眾國。

安全研究人員社區(qū)定期為組織及廣泛的互聯(lián)網(wǎng)安全領(lǐng)域作出寶貴貢獻(xiàn)，而美國國防部亦意識(shí)到與該社區(qū)的密切合作將有助于提升自身安全性水平。因此，如果您從美國國防部網(wǎng)站或者其他Web應(yīng)用當(dāng)中發(fā)現(xiàn)了安全漏洞，我們希望能夠得到您的協(xié)助！

基于此項(xiàng)政策被提交至國防部的信息將被用于防御性舉措——旨在緩解或者修復(fù)存在于網(wǎng)絡(luò)、應(yīng)用乃至供應(yīng)商應(yīng)用當(dāng)中的安全漏洞。

這是美國國防部首次嘗試在研究人員與國防部之間建立起積極的反饋流程體系——如有不盡人意之處，請您耐心等待，我們會(huì)隨時(shí)調(diào)整并更新這一流程。

請?jiān)趯啦烤W(wǎng)絡(luò)進(jìn)行任何測試以及提交報(bào)告之前，查閱、了解并同意以下條款與說明。謝謝您。

范圍

任何由美國國防部擁有、運(yùn)營或者控制的面向公眾之網(wǎng)站，包括托管于此類網(wǎng)站之上的Web應(yīng)用。1

如何提交報(bào)告

請?zhí)峁┡c漏洞相關(guān)的詳盡信息，具體包括：問題類型; 包含該bug的軟件產(chǎn)品、版本與配置; 可重現(xiàn)此問題的分步指令; 概念驗(yàn)證（POC）說明; 問題影響; 以及您據(jù)此給出的適當(dāng)緩解或者補(bǔ)救措施。

通過點(diǎn)擊“提交報(bào)告”，您同時(shí)表明您已經(jīng)查閱、了解并同意此份政策當(dāng)中描述的各項(xiàng)適用于對國防部信息系統(tǒng)內(nèi)漏洞或者安全研究發(fā)布指標(biāo)相關(guān)的指導(dǎo)意見，且同意將當(dāng)前及后續(xù)通信內(nèi)容存儲(chǔ)于美國政府信息系統(tǒng)當(dāng)中。

指南

美國國防部認(rèn)為發(fā)現(xiàn)、測試并提交安全漏洞2或者漏洞指標(biāo)的安全研究人員遵循以下指導(dǎo)意見：

· 您的行動(dòng)受限于——

測試以檢測安全漏洞或者發(fā)現(xiàn)與安全漏洞相關(guān)的指標(biāo);3 與美國國防部共享或者接收來自國防部的安全漏洞信息，或者與安全漏洞相關(guān)的指標(biāo)。

· 您不會(huì)危害亦不會(huì)在最低驗(yàn)證或者漏洞指標(biāo)核實(shí)測試要求范疇之外利用任何安全漏洞。

· 您會(huì)房間避免訪問任何存儲(chǔ)在國防部信息系統(tǒng)內(nèi)的通信、數(shù)據(jù)或者信息內(nèi)容——除非信息與安全漏洞直接相關(guān)，訪問信息為驗(yàn)證安全漏洞存在的必要步驟。

· 您不會(huì)在任何情況下泄露任何數(shù)據(jù)。

· 您不會(huì)故意侵害美國國防部人員（例如文職人員或者軍事人員）或者第三方相關(guān)者的隱私及人身安全。

· 您不會(huì)故意危害與任何國防部人員、職能實(shí)體或者其它第三方相關(guān)的知識(shí)產(chǎn)權(quán)或者其它商業(yè)或財(cái)務(wù)利益。

· 除非收到美國國防部發(fā)出的明確書面授權(quán)，否則您不會(huì)公開透露關(guān)于安全漏洞的任何細(xì)節(jié)信息、安全漏洞指標(biāo)或者提供與特定漏洞內(nèi)容相關(guān)的信息。

· 您不會(huì)進(jìn)行拒絕服務(wù)測試。

· 您不會(huì)針對國防部人員或者承包商執(zhí)行社交工程攻擊，包括魚叉式釣魚攻擊。

· 您不會(huì)提交篇幅冗長但質(zhì)量低下的報(bào)告。

· 如果您無法確定是否應(yīng)繼續(xù)進(jìn)行測試，請與我們的團(tuán)隊(duì)進(jìn)行聯(lián)系。

我們的配合工作

我們將認(rèn)真對待每一項(xiàng)漏洞披露報(bào)告，且誠摯感謝安全研究人員為此付出的努力。我們將調(diào)查每一項(xiàng)披露內(nèi)容，力爭采取適當(dāng)步驟以減輕風(fēng)險(xiǎn)并修復(fù)漏洞。

美國國防部擁有一套獨(dú)特的信息與通信技術(shù)設(shè)施，其中各項(xiàng)要素緊密交織且實(shí)施全球性部署。國防部內(nèi)有大量技術(shù)部署在作戰(zhàn)區(qū)域，并各自以不同程度支持著當(dāng)前正在進(jìn)行的軍事行動(dòng)本文由E安全譯制。美國國防部系統(tǒng)與應(yīng)用的正常動(dòng)作可能決定著現(xiàn)役軍人及美國的國際盟友與合作伙伴的生命財(cái)產(chǎn)安全。美國國防部必須在高度謹(jǐn)慎的前提之下調(diào)查安全漏洞的影響，同時(shí)尋求實(shí)現(xiàn)修復(fù)的方法，在此期間請您保持耐心，等待我們的后續(xù)反饋。

美國國防部致力于公開且盡快與研究人員進(jìn)行協(xié)調(diào)，具體舉措包括：

· 在三個(gè)工作日內(nèi)，我們將確認(rèn)收到您提交的報(bào)告。國防部的安全團(tuán)隊(duì)將調(diào)查此份報(bào)告并可能與您聯(lián)系以了解更多信息。

· 我們將盡自身所能確認(rèn)安全漏洞的存在，并向研究人員提供后續(xù)信息以及當(dāng)前的漏洞修復(fù)工作進(jìn)度。

· 我們希望各位研究人員能夠公開承認(rèn)自己的貢獻(xiàn)——如果與個(gè)人意愿不相違背的話。我們將努力允許研究人員將發(fā)現(xiàn)與其自身聯(lián)系起來。注意，只有經(jīng)過美國國防部的局面同意之后，漏洞相關(guān)信息方可進(jìn)行公開披露。

根據(jù)此項(xiàng)政策提交至國防部的信息將被用于防御性目的——包括緩解或者修復(fù)存在于我方網(wǎng)絡(luò)或應(yīng)用乃至供應(yīng)商應(yīng)用中的安全漏洞。

法律

您必須遵守所在地聯(lián)邦、州及當(dāng)?shù)胤桑源_保您的安全研究活動(dòng)或者其它漏洞披露計(jì)劃參與行為不與法律條文相違背。

美國國防部不會(huì)授權(quán)、許可或者以其它方式批準(zhǔn)（明示或者默示）任何人，包括任何個(gè)人、團(tuán)體、聯(lián)盟、合作伙伴或者其它商業(yè)或者法律實(shí)體執(zhí)行任何與本政策或者法律相抵觸的安全研究或者漏洞或威脅情報(bào)公開行為。如果您參與了任何與本項(xiàng)政策或者法律條文相違背的活動(dòng)，則可能因此承擔(dān)相關(guān)刑事及/或民事責(zé)任。

對于任何涉及非國防部實(shí)體（例如其它政府部門或者機(jī)構(gòu); 州、地方或者鄉(xiāng)鎮(zhèn)級政府; 私營企業(yè)或者個(gè)人; 任何職能實(shí)體的員工或者個(gè)人; 或者其它任何第三方）內(nèi)網(wǎng)絡(luò)、系統(tǒng)、信息、應(yīng)用、產(chǎn)品或者服務(wù)的安全研究或者安全漏洞發(fā)現(xiàn)活動(dòng)，各非國防部第三方皆可自主決定是否采取法律行動(dòng)或者補(bǔ)救措施等加以應(yīng)對。

如果您的安全研究以及漏洞發(fā)現(xiàn)行為充分符合本項(xiàng)政策中的限制與指導(dǎo)規(guī)定，（1）國防部不會(huì)發(fā)起或者支持任何指向您的執(zhí)法及民事訴訟活動(dòng)，且（2）如果除國防部之外的某方對您進(jìn)行執(zhí)法或者民事訴訟，國防部方面將采取措施以證明您的行為擁有依據(jù)且并不與政策相違背。

美國國防部可能在任何時(shí)候?qū)@一政策中的條款內(nèi)容加以修改或者終止此項(xiàng)政策。

1 這些網(wǎng)站共同構(gòu)成由6 U.S.C. 1501(9))所定義的“信息系統(tǒng)”概念。

2 關(guān)于本項(xiàng)政策當(dāng)中提及的安全漏洞，請參考6 U.S.C. 1501(17)當(dāng)中定義的“安全漏洞”概念。

3 如果與此項(xiàng)政策中的條款相一致，則相關(guān)行為即符合6 U.S.C. 1501(7))當(dāng)中定義的“防御性措施”概念。