之前爆發(fā)的WannaCry勒索病毒的源頭軟件是黑客組織從美國NSA竊取而來的，且該黑客放話將在今年6月陸續(xù)放出一系列攻擊工具，這對公眾來說是相當危險的。

在今年早些時候的RSA大會上，有專家建議應將漏洞公平裁決程序（Vulnerabilities Equities Process，VEP）編入法律。對于企業(yè)來說，漏洞公平裁決程序有多重要？優(yōu)點和缺點是什么？

Matthew Pascucci：對于企業(yè)而言，漏洞公平裁決程序非常重要，可幫助他們對政府漏洞披露做出反應。

漏洞公平裁決程序旨在指導政府機構(gòu)發(fā)布或保留其發(fā)現(xiàn)的漏洞的決策過程。這并不是非黑即白的問題，對于那些直接處理這個問題的人來說，這有些復雜。將VEP編入法律既有利又有弊。

法律化漏洞公平裁決程序的優(yōu)點在于，可為該流程增加更多透明度，并可防止政府機構(gòu)在沒有監(jiān)督的情況下自行采取行動?，F(xiàn)在，這個流程已經(jīng)部署到位，但并非所有政府機構(gòu)都完全遵循，如果沒有遵循，也起不到真正的懲罰作用。

大多數(shù)漏洞都會披露給供應商或者被武器化用于攻擊性措施。對VEP實施法律和監(jiān)管可防止政府機構(gòu)以不恰當方式或未經(jīng)許可利用這些漏洞。

執(zhí)行秘書或監(jiān)督該流程的角色是一個爭議點，但這是必要的。當編入法律后，需要在某個政府機構(gòu)內(nèi)運作，并讓其中一個機構(gòu)成為先驅(qū)者（例如美國國土安全部或者國家安全局），可能會在不同政府部門之間制造緊張關(guān)系。

制定法律實現(xiàn)機構(gòu)間監(jiān)督有利于提高透明度。同時，對漏洞披露和使用的報告和指標的持續(xù)審查，會讓政府更加負責任。

漏洞公平裁決程序編入法律的缺點是，這個過程會變得繁重，因為機構(gòu)不會對漏洞披露自己采取行動。這會限制他們以國家安全的名義而不采取行動，并可能使其無法再創(chuàng)造出新技術(shù)作為進攻性措施。在我看來，我認為VEP應該編入法律。

目前還沒有有關(guān)VEP的法律的主要問題在于，通常都是由單個機構(gòu)來決定漏洞的走向。他們應該披露還是利用它？某些機構(gòu)在這方面比其他機構(gòu)有著更好的聲譽，但如果不編入法律，則都在自己的孤島上運行。

另外，這些機構(gòu)都在自主運行。最近，NSA和CIA在遭受攻擊后其攻擊工具被發(fā)布到互聯(lián)網(wǎng)上。這是非常危險的，通過對這個流程加以監(jiān)督，可采取直接行動，包括保護這些已經(jīng)變成工具的漏洞。在我看來，缺乏對這些數(shù)據(jù)的監(jiān)督和保護是一種疏忽。

對于這個話題有很多不同的觀點。值得注意的是，即使是法律化漏洞公平裁決程序，政府機構(gòu)仍然有可能從其他第三方購買漏洞來繞過整個流程。