民主與技術中心自由、安全和技術項目副主任Michelle Richardson（米歇爾·理查森）和美國律師Mike Godwin（邁克·戈德溫）在美國法律和政策分析論壇Just Security共同撰文分析白宮應當披露的“漏洞公平裁決程序”（VEP）信息。

白宮網絡安全協調員Rob Joyce（羅伯·喬伊斯）10月初在一系列活動上宣布，他正準備發布更多有關漏洞公平裁決程序（Vulnerabilities Equities Process，VEP）的信息。

VEP是一個復雜而重要的程序，它決定了美國政府是否通知數字技術公司，告知其產品或服務中存在網絡安全漏洞，或選擇不披露漏洞，以便用來在今后實施黑客入侵或達到情報收集的目的。Richardson和Godwin認為，需要立法解決方案來管理這個高風險程序，而不僅僅是依賴不太正式的機構間審查。這將對網絡安全、隱私、信息獲取以及美國的經濟競爭力產生影響。他們還認為，應向公眾披露此程序相關的更多信息。

Joyce過去也曾表示，他對當前這個程序的運作模式還滿意。本月他發表聲明表示，十月白宮計劃自愿發布信息是可喜的進步，但公眾至少會期待有一個“章程”，以及截至目前如何運用VEP來披露（或延遲披露）漏洞的基本統計數據。

Richardson、Godwin這兩人認為，由于公布信息的目的是為了證明程序的合法性和成功性，白宮應當公布的信息類型如下：

為響應《信息自由法》（Freedom of Information Act）發布的機構間備忘錄寫入VEP的常設參與者。美國國家安全局（NSA）和美國特工處（USSS，美國聯邦特勤局）將可能成為VEP的常任成員，國防部（DOD）、國務院、司法部和國土安全部（DHS）會在擁有特定的“權益”（即，決策制定給部門帶來利益）時參加VEP。但是，隱瞞決策制定者的身份毫無道理可言。

美國參議院《情報授權法》（Intelligence Authorization Act）要求VEP參與者共享依據哪些政策規定確定何時將漏洞提交到VEP。這只能提高人們對VEP的理解認識，并理解這個程序必須包括何時以及如何將這些軟件漏洞提交供審查。由于不同的機構對其責任有不同的詮釋，如果存在實質差異，而不僅僅是程序差異，那么就可能會出現問題。更高的透明度也許可以闡明是否將技術類特定漏洞提交到VEP，或是否只需要將操作性的、端對端的漏洞利用提交至該程序。

有許多利害攸關的公平因素需要考慮，包括非政府公平因素，以及在不同的情況下如何將這些公平因素應用到特定的漏洞。但是，基于要考慮的因素，證實該過程確實支持漏洞披露相當重要。

NSA表示，90%以上的事件向受影響的技術公司披露了已知漏洞，但其它機構的情況如何？如果存在差距？為何會出現這種差距？關于絕對值，要討論哪些要素？

公開發布的數據可能會在很大程度上掩蓋漏洞影響力。例如，法院命令曾被用來每天任意收集數百萬條電話記錄。信息公開應提供某類特征描述。熱門產品或關鍵基礎設施中存在的漏洞可能會影響更多設備和用戶。

Richardson和Godwin認為，上述披露要素應由法律進行規定，但美國政府還應當利用這種機會采取并共享補救措施，借助過去的VEP決定來解決明顯的問題。他們建議政府就VEP過程中出現的問題提供更多解答。

例如，微軟表示，NSA未在“影子經紀人”（Shadow Brokers）披露NSA漏洞利用工具時收到通知。奧巴馬執政時期時任網絡安全顧問的Michael Daniel（邁克爾·丹尼爾）2014年4月發表博文指出，VEP休眠幾年后于2014年重獲生機。Richardson和Godwin提出幾個疑問：“影子經紀人”披露的NSA黑客工具是否在VEP重啟之前經過編譯？這些黑客工具是否在VEP重啟后經過編譯？是否經歷了VEP程序？

Richardson和Godwin認為，即將發布的VEP信息被認為是向公眾、技術公司和國會保證VEP程序合法性的方式。解決眾所周知的安全問題——即使承認VEP過程中所犯下的錯誤也是起碼的負責任的表現。