之前爆發的WannaCry勒索病毒的源頭軟件是黑客組織從美國NSA竊取而來的，且該黑客放話將在今年6月陸續放出一系列攻擊工具，這對公眾來說是相當危險的。

在今年早些時候的RSA大會上，有專家建議應將漏洞公平裁決程序（Vulnerabilities Equities Process，VEP）編入法律。對于企業來說，漏洞公平裁決程序有多重要？優點和缺點是什么？

Matthew Pascucci：對于企業而言，漏洞公平裁決程序非常重要，可幫助他們對政府漏洞披露做出反應。

漏洞公平裁決程序旨在指導政府機構發布或保留其發現的漏洞的決策過程。這并不是非黑即白的問題，對于那些直接處理這個問題的人來說，這有些復雜。將VEP編入法律既有利又有弊。

法律化漏洞公平裁決程序的優點在于，可為該流程增加更多透明度，并可防止政府機構在沒有監督的情況下自行采取行動。現在，這個流程已經部署到位，但并非所有政府機構都完全遵循，如果沒有遵循，也起不到真正的懲罰作用。

大多數漏洞都會披露給供應商或者被武器化用于攻擊性措施。對VEP實施法律和監管可防止政府機構以不恰當方式或未經許可利用這些漏洞。

執行秘書或監督該流程的角色是一個爭議點，但這是必要的。當編入法律后，需要在某個政府機構內運作，并讓其中一個機構成為先驅者（例如美國國土安全部或者國家安全局），可能會在不同政府部門之間制造緊張關系。

制定法律實現機構間監督有利于提高透明度。同時，對漏洞披露和使用的報告和指標的持續審查，會讓政府更加負責任。

漏洞公平裁決程序編入法律的缺點是，這個過程會變得繁重，因為機構不會對漏洞披露自己采取行動。這會限制他們以國家安全的名義而不采取行動，并可能使其無法再創造出新技術作為進攻性措施。在我看來，我認為VEP應該編入法律。

目前還沒有有關VEP的法律的主要問題在于，通常都是由單個機構來決定漏洞的走向。他們應該披露還是利用它？某些機構在這方面比其他機構有著更好的聲譽，但如果不編入法律，則都在自己的孤島上運行。

另外，這些機構都在自主運行。最近，NSA和CIA在遭受攻擊后其攻擊工具被發布到互聯網上。這是非常危險的，通過對這個流程加以監督，可采取直接行動，包括保護這些已經變成工具的漏洞。在我看來，缺乏對這些數據的監督和保護是一種疏忽。

對于這個話題有很多不同的觀點。值得注意的是，即使是法律化漏洞公平裁決程序，政府機構仍然有可能從其他第三方購買漏洞來繞過整個流程。