您的瀏覽器似乎不支援JavaScript語法,但沒關係,這裡的JavaScript語法並不會影響 到內容的陳述, 如需要選擇字級大小,IE6請利用鍵盤按住ALT鍵+ V → X → (G)最大 (L)較大(M)中(S)較小(A)小,來選擇適合您的文字大小, 而IE7或Firefox瀏覽器則可 利用鍵盤 Ctrl + (+)放大(-)縮小來改變字型大小,如需要回到上一頁可使用瀏覽器提 供的 Alt+左方向鍵(←) 快速鍵功能,列印可使用瀏覽器提供的(Ctrl+P)功能。 跳到主要內容
News Detail Banner
:::

美國國土安全部規定所有聯邦機構須在半年內公布漏洞揭露政策

美國國土安全部之網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency, CISA)於9月2日頒布強制命令(Binding Operational Directive, BOD)20-01,要求所有使用.gov之聯邦機構須於180天內公布漏洞揭露政策(Vulnerability Disclosure Policy, VDP),包括建立資通安全聯繫窗口,以利安全研究人員提交系統漏洞。

 

CISA網路安全副總監(Assistant Director for Cybersecurity) Bryan Ware表示,當大眾有能力作出貢獻時,才能促使資通安全更加全面,關鍵因素為建立正式政策,以協助大眾合法地發現與舉報漏洞。VDP政策鼓勵聯邦機構與外界建立合作關係,讓大眾更清楚地知道該如何舉報漏洞,並了解哪些系統可以合法進行測試。

 

該命令著眼於要求所有美國聯邦機構建立漏洞提報與回應機制,包括每一個擁有對外網站之聯邦機構須於30個工作天內提供資通安全聯繫窗口,並於180天內發布漏洞揭露政策,內容涵蓋漏洞揭露範圍、漏洞提報管道、能否匿名舉報、承諾不對舉報者採法律行動及設定回應時間等。

 

CISA指出,VDP如同抓漏獎勵專案(Vulnerability Reward Program),但並無獎勵,利用獎勵機制可能會吸引大眾協助尋找漏洞,但同時亦可能使低品質之舉報數量大增,儘管抓漏獎勵專案能夠強化安全,但此一命令並未要求聯邦機構提供抓漏獎金。

Reference

資料來源:

https://cyber.dhs.gov/bod/20-01/

https://www.infosecurity-magazine.com/news/cisa-pushes-vulnerability/

https://federalnewsnetwork.com/cybersecurity/2020/09/omb-cisa-release-a-trifecta-of-cyber-guidance/

技術服務中心整理

Publish Date
2020/9/2 上午 12:00:00