示意圖,與新聞事件無關。

為了平息外界對政府擁有漏洞軍火庫的疑慮,美國政府周三公佈安全漏洞揭露原則,說明美政府如何判斷何種漏洞會公佈、何種可以隱藏。
 
前美國總統歐巴馬時代成立了「漏洞公正性評估流程」(Vulnerabilities Equities Process, VEP)的跨部門平台,以決定美國政府部門在發現廠商軟體漏洞後,是該通知廠商修補,還是該為了國家安全、讓政府或執法機關得以駭入電腦及系統而暫時不通知,但美國政府對這個平台一直沒有說清楚講明白,讓隱私權人士相當感冒。周三由白宮網路協調官Rob Joyce公佈的《美國政府漏洞公正性評估政策與流程》的文件,即是在透明化前提下說明該組織的運作。
 
根據文件,決定是否該揭露漏洞的主要是審查委員會,這個委員會包含商務部、國土安全部、國防部、能源部、特勤局、財務部、司法部、國務院、行政管理和預算局、白宮,以及國安局、中情局等單位代表。同時由國安局擔任行政祕書,以便在成員部會意見相左時,協調各方對於漏洞通報進行辯論。而被隱而不宣的漏洞,每年也必須重新討論。
 
此外,新原則也會要求提供包含非機密資訊的VEP年度作業報告,而基於透明原則,這份報告也將呈交國會。
 
自從史諾登及維基解密(Wikileaks)相繼揭露美國情治機關如國安局(NSA)、中情局(CIA)等囤積了大量網路及電腦漏洞,以便用於入侵國內外的企業或政府網路、電腦與電信基礎架構,引發各方批評。今年造成全球政府及企業陷入混亂的WannaCry勒索軟體,據信就是入侵NSA持有,但未向微軟舉報的Windows SMB協定漏洞。


Advertisement

更多 iThome相關內容