CISA和白宫发布了漏洞披露政策:必须允许匿名提交操作指令《制定和发布漏洞披露政策》,指示联邦机构如何设置漏洞研究和披露计划。根据CISA指令,每个联邦机构必须在六个月内发布漏洞披露政策,概述所涵盖的系统、外部安全研究人员将如何报告、该机构将如何以及何时做出回应,并明确承诺不针对那些遵守规则的人.主体采取法律行动。此外,这些机构不能要求安全研究人员提供个人身份信息,允许匿名提交,并且不得干预限制研究人员在“合理时间限制”之外向其他人披露漏洞。CISA助理主任BryanWare表示,CISA将于明年春天建立一个新的漏洞披露平台服务。九个月后,这些机构必须至少拥有一个符合条件的互联网访问系统或服务,并且在两年内所有系统都必须合规。OMB备忘录指出,机构计划应与现行联邦法律以及国际标准(例如国际标准化组织或国际电工委员会制定的标准)紧密结合。此外,OMB警告说,虽然漏洞赏金可以吸引安全研究人员并帮助机构发现软件漏洞,但机构必须仔细评估安全可持续发展的成本。其表示,已经与网络安全和基础设施安全局等机构建立了合作关系,主要是为了推动该计划的大规模实施。参议员罗恩·怀登(D-Ore)在一份声明中说:“自愿发现并报告威胁美国人安全和隐私的问题的网络安全研究人员实际上提供了很好的公共服务,政府应该尊重他们。”表彰,CISA的行动可以改善政府机构多年来起诉网络安全研究人员的负面影响。参考来源:https://fcw.com/articles/2020/09/02/johnson-vdp-bugs-cisa-omb.aspx
