白宮網絡安全協調員羅伯·喬伊斯本周在波士頓舉辦的科技領袖會議上表示，特朗普政府已經在關注一項政策程序改革提議，即決定如何處理新發現的軟件零日漏洞。

該政策程序被稱為“漏洞公平裁決程序”(Vulnerability Equities Process，VEP)，規定了政府官員判斷是否將漏洞披露給軟件制造商的具體方法，以提醒制造商打補丁，確保所有用戶安全，或秘密存儲并用來監視美國對手。

前政府官員表示，這一程序需要“大動刀”，國會議員于當地時間上周三提出《保護能力，打擊黑客法案》(PATCH Act)法案。

PATCH Act法案將解決哪些問題?

PATCH Act在增加VEP監督框架的透明度，并解決當前框架中的棘手問題，包括誰負責多機構審查委員會，負責制定決策以及何時披露漏洞等問題。

此外，該法案還還提供決策制定標準，并描述審查委員會(包括商務部長和國家情報總監)需權衡的考慮。

漏洞公平裁決程序的利弊

喬伊斯稱，特朗普政府官員正在與法案的支持者接洽，草案需要進一步修訂。政府官員目前正在與國會合作研究PATCH Act。但令他擔心的是，立法者在討論為非中立實體授權的問題。

喬伊斯認為，目前的程序帶來平衡效果，該程序已經“傾向于”披露。VEP監督框架如今支持“防御”......因其了解漏洞的重要性，哪些行業在使用，以及即使沒有補丁的情況下，是否具有緩解措施?

但政府官員在確定何時需要保留漏洞的問題上，正在做“模糊”決策，因為美國政府需要漏洞提供的網絡間諜能力。

目前，VEP由非情報機構官員組成的白宮委員會牽頭。自2014年4月以來，所有新的、非公開已知漏洞都提交到了直通白宮的這個程序中。

對手國家或因此受益

前官員將披露更多0day漏洞稱之為“單方面裁軍”，因為美國的對手將不會“鸚鵡學舌”。

喬伊斯還表示，值得注意的是，對手的情報機構，例如朝鮮、俄羅斯和伊朗并不具有VEP這類程序，這更容易讓美國受到傷害。權衡折中并非易事，因此，美國政府制定規則指導機構制定決策。

這些規則可能追溯到過去十年的布什政府時期。

隨著網絡上泄露一系列強大的NSA黑客工具(利用Windows軟件零日漏洞)，這些規則就受到新審查。盡管有VEP的相關規定，但NSA卻秘密囤積了漏洞，而目前正被網絡犯罪分子和黑客大肆利用。