2017年RSA大會專家小組建議將聯邦機構決定是否公開或保留軟件漏洞的程序編入法律。
在過去一年,美國國家安全局因其披露或保留漏洞用于情報收集目的的模糊政策而飽受爭議,專家們稱這是因為漏洞公開裁決程序目前為自愿執行,而不是強制執行的。
漏洞公平裁決程序旨在幫助政府機構決定是向開發者披露已經獲得或發現的漏洞,還是保留漏洞用于情報機構、執法機構或者其他目的。
Mozilla公司高級政策經理兼美洲區負責任Heather West表示,該程序已初見成效。
“目前在漏洞披露方面有著非常完善的規范,并且還在不斷改進中。很多人都在談論它們,遵循這些最佳做法非常重要,”West在2017年RSA大會上表示,“我們不需要對漏洞披露重新構建程序;我們只需要確保漏洞被披露出來。”
美國外交關系委員會高級研究員Rob Knake稱,漏洞公開裁決程序編入法律并不會讓其運作方式發生太大改變,但這將提高對該程序的信任水平。
“現在有很多人質疑這個程序是否已部署到位,”Knake稱,“我認為將它作為一項法律,將其變成要求的話,聯邦政府和聯邦雇員就很難會違反這些法律,如果違法則需要接受處罰。目前,對于保留漏洞信息的機構或者個人并沒有處罰。所以,我認為這不會帶來實質性的變化,但它會增加對該程序的信任水平。”
West稱編入法律可以帶來信任、國會監督和其他“附帶好處”。
“目前在聯邦機構方面,這個程序為自愿進行的。有些機構采取的立場是他們所有知道的漏洞都應該通過VEP,我很贊同這一做法。而其他機構(特別是FBI)則更加謹慎,因為他們想要保留漏洞,”West稱,“在我看來,VEP程序運行得如此之好是因為它在政府范圍內平衡了公平裁決程序。”
Lawfare研究員兼管理研究和管理編輯Susan Hennessey指出,法律會增加透明度和問責制,而且還可以解決大家對這種管理的顧慮。
Hennessey稱:“我不認為這是一個有爭議的聲明;只是有人擔憂。所以目前我認為最好制定實際的法律,讓人們認識到聯邦政府內部沒有自由裁決權。”
漏洞公平裁決程序監管
然而,專家們對該程序的執行秘書處應該位于政府什么位置并沒有達成共識。執行秘書處負責監管該程序,包括當確定應該披露漏洞時通知聯系人以及編制年終報告。該職責目前交由美國國家安全局的信息保障局,但Hennessey和Knake認為這應該轉移到國土安全部。
“一直以來,特別是在過去幾年對DHS有著非常強的依賴,因為DHS與公眾有著非常良好的關系,他們與公共部門也保持很好的關系,并且有著良好的隱私聲譽,”Hennessey稱,“而NSA在這些方面還需要努力。”
但美國國土安全部企業績效管理辦公室主任Neil Jenkins拒絕對是否將漏洞公平裁決程序編入法律發表正式評論,但他認為國土安全部也不是最佳選擇,如果交由國土安全部,則對該程序的監管應采取不同的方法,例如更加跨機構的方法。
京公網安備 11010502049343號