美國國防部擴大抓漏專案到所有對外網路

美國國防部（Department of Defense，DOD）周二（5/4）宣布，將擴大該部門的漏洞揭露專案至所有可公開存取的DOD資訊系統，從各式網站、基於頻率的通訊、IoT裝置到工業控制系統等。

DOD的首個抓漏專案為2016年發表的「入侵國防部」（Hack the Pentagon）計畫，當時的抓漏範圍僅限於DOD旗下的公開網頁，之後陸續擴大該專案至陸軍、海軍與國防部內部的IT系統，而今則延伸到所有可公開存取的DOD資訊系統。

DOD表示，國防部的網站只是DOD所有攻擊表面的一小部份，此一擴張證明美國政府對安全的態度已然轉變，也是DOD現有內部技術狀態的大躍進。

此外，從美國國防部展開抓漏專案以來，受邀的安全專家已提交超過2.9萬個漏洞報告，當中逾7成屬於有效漏洞，成效卓著。

事實上，美國政府與國防部對資安的態度可說已提高到全新的層級，DOD甫於今年4月透過HackerOne發表了「國防工業基地漏洞揭露專案」（Defense Industrial Base Vulnerability Disclosure Program，DIB-VDP），而此一專案主要是替DOD的承包商抓漏，透露出DOD不僅要防範自家的網路遭受攻擊，也正努力避免從供應鏈而來的攻擊。