美国政府发布漏洞披露统一平台
近日,网络安全和基础设施安全局(CISA )发布了美国政府的漏洞披露政策(VDP)平台。那些希望帮助美国联邦政府保护在线资产的漏洞猎人和白帽子黑客现在可以从该VDP平台中获取所有相关信息。
节省成本超过1000万美元
“通过这个众包平台,联邦民事行政部门(FCEB)机构现在能够以简化的方式与安全研究社区进行协调,并且那些报告事件的人员可以使用一个单一的、可用的网站来促进调查结果的提交。CISA网络安全执行助理总监Eric Goldstein解释说:
“该平台允许具有独特技能的研究人员提交漏洞报告,从而鼓励公共部门和私营部门之间的合作和信息共享,机构将使用这些报告来了解和解决以前无法识别的漏洞。”
根据CISA的公告,CISA估计,QSMO(网络质量服务管理办公室)提供的这个VDP漏洞共享平台,使机构能够更深入地了解潜在漏洞,从而改善其网络安全状况。
这种方法还可以在整个政府范围内节省大量成本。CISA估计,通过利用QSMO共享服务方法,政府范围内节省的成本将超过1000万美元。
聚合11个漏洞披露项目
2020年9月发布的强制指令20-01要求所有FCEB机构必须制定和发布漏洞披露政策。
目前,这个新成立的VDP平台汇集了11个漏洞披露项目,由以下机构发布:
联邦通信委员会(FCC)
国土安全部(DHS)
全国劳资关系委员会(NLRB)
联邦退休储蓄投资委员会(FRTIB)
千禧挑战公司(MCC)
农业部(USDA)
劳工部(DOL)
隐私和公民自由监督委员会(PCLOB)
平等就业机会委员会(EEOC)
职业安全与健康审查委员会(OSHRC)
法院服务和罪犯监督机构(CSOSA)
新成立的联邦政府VDP平台由BugCrowd(一家漏洞赏金和漏洞披露公司)和EnDyna(一家为多个美国联邦机构提供基于科技解决方案的政府承包商)运营。
Goldstein指出,两家公司将对提交的漏洞报告进行初步评估,这些机构将重点关注那些“具有实际影响”的报告。
每个程序都描述了机构拥有、运营或控制的互联网可访问信息系统、应用程序(网络和移动)或网站的范围、指南和他们的期望。
通常,这些机构禁止漏洞猎人从事设施的物理测试、社会工程和其他非技术漏洞测试,以及可能影响或损坏系统或数据的测试(DoS、资源耗尽、暴力测试等等)。
“这个新平台使机构能够更深入地了解潜在漏洞,从而改善他们的网络安全状况。这种方法还可以在整个政府范围内节省大量成本,因为机构不再需要开发自己的独立系统来实现对已识别漏洞的报告和分类。”Goldstein总结道。
参考资料
VDP项目地址:
https://bugcrowd.com/programs/organizations/cisa
QSMO市场地址: