美國國土安全部規定所有聯邦機構必須在半年內公布漏洞揭露政策

美國國土安全部旗下的網路安全及基礎設施安全局（Cybersecurity and Infrastructure Security Agency，CISA），在本周三（9/2）頒布了強制命令（ Binding Operational Directive，BOD）20-01，要求所有使用.gov的聯邦機構都必須在180天內公布漏洞揭露政策（Vulnerability Disclosure Policy，VDP），也應建立安全聯繫窗口，以方便安全研究人員提交系統漏洞。

CISA網路安全助理局長Bryan Ware表示，當大眾有能力作出貢獻時，才能讓資安更強大，其中的關鍵因素就是建立一個正式的政策，以協助大眾如何合法地發現及舉報漏洞。VDP將能鼓勵聯邦機構與外界建立合作關係，讓大眾更清楚地知道該如何舉報漏洞、哪些系統可以合法進行測試，也能期待之後的交流。

CISA指出，聯邦機構應該要了解，任何掌握漏洞資訊的人，就算沒有事先通知相關機構，隨時都能將漏洞資訊公諸於世，這樣未經協調的揭露可能在聯邦機構尚未修補前就帶來災難，而且該名人士也可能必須承擔法律後果，VDP的主要優點之一就是減輕聯邦基礎設施與大眾的風險，以讓聯邦機構能夠在漏洞公開前及時修補。

該命令著眼於要求美國聯邦網站建立一個漏洞提報及回應系統，包括要求每一個擁有對外網站的聯邦機構要在30個工作天內提供資安窗口，並於180天發布漏洞揭露政策，涵蓋漏洞揭露範圍、允許的測試型態、漏洞提報管道、能否匿名舉報、承諾不對舉報者採法律行動、設定回應時間，也應考慮明確說明相關的舉報並無獎金。

CISA亦說明，VDP類似抓漏獎勵專案，但並無獎勵，財政上的補貼可能會吸引人們協助尋找漏洞，但同時也可能讓低品質的舉報數量大增，儘管抓漏獎勵專案能夠強化安全，但此一命令並未要求聯邦機構提供抓漏獎金。

CISA將2020年定義為漏洞管理年，除了BOD 20-01之外，今年4月底亦曾頒布BOD 19-02，要求美國的各個聯邦機構須在發現重大（Critical）風險漏洞的15天內修補該漏洞，而高度（High）風險漏洞的修補期限則是30天。