您的位置: 浩塘网 > 历史 > 财神爷论坛22241!·美国会议员提出“漏洞披露法案” 仍考虑非中立实体授权

蒙牛78亿收购网红奶粉贝拉米,却股价大跌 到底值不值?[图]

日期:2020-01-10 10:23:23     浏览:3749    

财神爷论坛22241!·美国会议员提出“漏洞披露法案” 仍考虑非中立实体授权

财神爷论坛22241!,更多全球网络安全资讯尽在e安全官网www.easyaq.com

e安全5月27日讯 白宫网络安全协调员罗伯·乔伊斯本周在波士顿举办的科技领袖会议上表示,特朗普政府已经在关注一项政策程序改革提议,即决定如何处理新发现的软件零日漏洞。

该政策程序被称为“漏洞公平裁决程序”(vulnerability equities process,vep),规定了政府官员判断是否将漏洞披露给软件制造商的具体方法,以提醒制造商打补丁,确保所有用户安全,或秘密存储并用来监视美国对手。

前政府官员表示,这一程序需要“大动刀”,国会议员于当地时间上周三提出《保护能力,打击黑客法案》(patch act)法案。

patch act法案将解决哪些问题?

patch act在增加vep监督框架的透明度,并解决当前框架中的棘手问题,包括谁负责多机构审查委员会,负责制定决策以及何时披露漏洞等问题。

此外,该法案还还提供决策制定标准,并描述审查委员会(包括商务部长和国家情报总监)需权衡的考虑。

漏洞公平裁决程序的利弊

乔伊斯称,特朗普政府官员正在与法案的支持者接洽,草案需要进一步修订。政府官员目前正在与国会合作研究patch act。但令他担心的是,立法者在讨论为非中立实体授权的问题。

乔伊斯认为,目前的程序带来平衡效果,该程序已经“倾向于”披露。vep监督框架如今支持“防御”......因其了解漏洞的重要性,哪些行业在使用,以及即使没有补丁的情况下,是否具有缓解措施?

但政府官员在确定何时需要保留漏洞的问题上,正在做“模糊”决策,因为美国政府需要漏洞提供的网络间谍能力。

目前,vep由非情报机构官员组成的白宫委员会牵头。自2014年4月以来,所有新的、非公开已知漏洞都提交到了直通白宫的这个程序中。

对手国家或因此受益

前官员将披露更多零日漏洞称之为“单方面裁军”,因为美国的对手将不会“鹦鹉学舌”。

乔伊斯还表示,值得注意的是,对手的情报机构,例如朝鲜、俄罗斯和伊朗并不具有vep这类程序,这更容易让美国受到伤害。权衡折中并非易事,因此,美国政府制定规则指导机构制定决策。

这些规则可能追溯到过去十年的布什政府时期。

随着网络上泄露一系列强大的nsa黑客工具(利用windows软件零日漏洞),这些规则就受到新审查。尽管有vep的相关规定,但nsa却秘密囤积了漏洞,而目前正被网络犯罪分子和黑客大肆利用。

相关阅读:勒索软件不能避免:微软叫板美国安局nsa,反对囤积漏洞,长按识别下方二维码查看详情。

27

e安全要闻简讯

2017年5月

01

研究人员发现安卓设备全新恶意软件"斗篷与匕首"

02

[视频]用扫描仪控制恶意程序从隔离的网络中获取数据

03

威胁情报公司:勒索软件wannacry幕后开发者或来自中文国家

04

fbi非法向第三方分享了其收集到的美国人数据

05

网络安全受量子计算影响还远吗?未来将面临这些威胁

06

美国会议员提出“漏洞披露法案” 仍考虑非中立实体授权

07

马民虎:《网络安全法》的意义


上一篇: 防空利剑!出击!:荔枝军事
下一篇: 日女团偶像引退拍卖粉丝礼物,引来无数粉丝围剿!