政府發現漏洞是公開還是隱瞞!? 美國頒佈揭露原則說明白

為了平息外界對政府擁有漏洞軍火庫的疑慮，美國政府周三公佈安全漏洞揭露原則，說明美政府如何判斷何種漏洞會公佈、何種可以隱藏。
 
前美國總統歐巴馬時代成立了「漏洞公正性評估流程」（Vulnerabilities Equities Process, VEP）的跨部門平台，以決定美國政府部門在發現廠商軟體漏洞後，是該通知廠商修補，還是該為了國家安全、讓政府或執法機關得以駭入電腦及系統而暫時不通知，但美國政府對這個平台一直沒有說清楚講明白，讓隱私權人士相當感冒。周三由白宮網路協調官Rob Joyce公佈的《美國政府漏洞公正性評估政策與流程》的文件，即是在透明化前提下說明該組織的運作。
 
根據文件，決定是否該揭露漏洞的主要是審查委員會，這個委員會包含商務部、國土安全部、國防部、能源部、特勤局、財務部、司法部、國務院、行政管理和預算局、白宮，以及國安局、中情局等單位代表。同時由國安局擔任行政祕書，以便在成員部會意見相左時，協調各方對於漏洞通報進行辯論。而被隱而不宣的漏洞，每年也必須重新討論。
 
此外，新原則也會要求提供包含非機密資訊的VEP年度作業報告，而基於透明原則，這份報告也將呈交國會。
 
自從史諾登及維基解密（Wikileaks）相繼揭露美國情治機關如國安局（NSA）、中情局（CIA）等囤積了大量網路及電腦漏洞，以便用於入侵國內外的企業或政府網路、電腦與電信基礎架構，引發各方批評。今年造成全球政府及企業陷入混亂的WannaCry勒索軟體，據信就是入侵NSA持有，但未向微軟舉報的Windows SMB協定漏洞。