E安全1月12日訊 美國眾議院將于當(dāng)?shù)貢r間2018年1月9日討論了一項法案，要求美國國土安全部（DHS）提交網(wǎng)絡(luò)漏洞披露報告，描述網(wǎng)絡(luò)漏洞披露的政策和程序，即美國政府如何決定是否利用新發(fā)現(xiàn)的計算機(jī)軟件漏洞攻擊美國對手或向制造商披露漏洞。

這項名為“網(wǎng)絡(luò)漏洞披露報告法案”于2017年9月通過美國國土委員會的投票表決，它將為特朗普政府計劃發(fā)布的“漏洞公平裁決程序（Vulnerabilities Equities Process，VEP）”年度報告提供法律保障。

目前這項法案已經(jīng)獲得通過，下一步將提交美國參議院審議。

VEP是一個復(fù)雜而重要的程序，它決定了美國政府是否通知數(shù)字技術(shù)公司，告知其產(chǎn)品或服務(wù)中存在網(wǎng)絡(luò)安全漏洞，或選擇不披露漏洞，以便用來在今后實施黑客入侵或達(dá)到情報收集的目的。VEP中包含漏洞囤積和披露漏洞支持方的意見，包括最可能支持囤積漏洞的情報機(jī)構(gòu)，以及最可能支持披露漏洞的安全機(jī)構(gòu)。

民主黨籍眾議員希拉-杰克遜-李在特朗普VEP年度報告計劃之前就已提出這項法案。美國政府官員表示，照例來講，美國政府會披露約90%的軟件漏洞。如果發(fā)現(xiàn)最易被犯罪分子發(fā)現(xiàn)并用來攻擊美國消費(fèi)者的漏洞，美國政府會選擇披露。

受保密協(xié)議等的限制：

VEP指出，美國政府決定披露或限制漏洞信息可能受制于外國或私有部門合伙伙伴提出的限制條件，例如保密協(xié)議（Non-disclosure agreement，簡稱NDA）、理解備忘錄或其它限制美國政府披露漏洞信息的限制條件。

缺乏漏洞風(fēng)險評級：

軟件漏洞通常會根據(jù)潛在危險性進(jìn)行評級。例如，微軟設(shè)置了4個風(fēng)險等級：低危（Low）、中危（Moderate）、重要（Important）和嚴(yán)重（Critical）。然而，VEP政策中卻未提及漏洞評級。這樣一來，其它人將必須評估漏洞的嚴(yán)重程度，似乎造成了不必要的延遲。缺乏風(fēng)險評級將難以評估VEP政策的實際效果：NSA可能會公開披露999個低危和中危漏洞，但卻手握5個嚴(yán)重的漏洞而不披露。

美國白宮于2017年11月發(fā)布一份章程，表示將為安全漏洞公平裁決程序（VEP）帶來更理想的明確性與透明度。

這份章程列出了美國政府在決定是否秘密保留零日漏洞這類特定安全漏洞相關(guān)信息時，所應(yīng)考慮到的核心影響因素——包括利用其進(jìn)行秘密間諜活動，或決定向相關(guān)軟件開發(fā)商公開以確保軟件得到補(bǔ)丁修復(fù)。該章程指出，要高度重視安全漏洞管理。涵蓋政府方面從私營部門雇用黑客人士以解決零日漏洞的問題。

考慮到了“外交公布”問題，其中主要涵蓋國外產(chǎn)品中的安全漏洞，以及聯(lián)合情報機(jī)構(gòu)可能對美國政府所披露的安全漏洞信息的使用。該章程還涉及到網(wǎng)絡(luò)安全領(lǐng)域的一場巨大爭論，即重新發(fā)現(xiàn)——是指其他人發(fā)現(xiàn)并秘密保留此類漏洞的可能性。