白宮網(wǎng)絡(luò)安全協(xié)調(diào)員羅伯·喬伊斯本周在波士頓舉辦的科技領(lǐng)袖會議上表示，特朗普政府已經(jīng)在關(guān)注一項政策程序改革提議，即決定如何處理新發(fā)現(xiàn)的軟件零日漏洞。

該政策程序被稱為“漏洞公平裁決程序”(Vulnerability Equities Process，VEP)，規(guī)定了政府官員判斷是否將漏洞披露給軟件制造商的具體方法，以提醒制造商打補(bǔ)丁，確保所有用戶安全，或秘密存儲并用來監(jiān)視美國對手。

前政府官員表示，這一程序需要“大動刀”，國會議員于當(dāng)?shù)貢r間上周三提出《保護(hù)能力，打擊黑客法案》(PATCH Act)法案。

PATCH Act法案將解決哪些問題?

PATCH Act在增加VEP監(jiān)督框架的透明度，并解決當(dāng)前框架中的棘手問題，包括誰負(fù)責(zé)多機(jī)構(gòu)審查委員會，負(fù)責(zé)制定決策以及何時披露漏洞等問題。

此外，該法案還還提供決策制定標(biāo)準(zhǔn)，并描述審查委員會(包括商務(wù)部長和國家情報總監(jiān))需權(quán)衡的考慮。

漏洞公平裁決程序的利弊

喬伊斯稱，特朗普政府官員正在與法案的支持者接洽，草案需要進(jìn)一步修訂。政府官員目前正在與國會合作研究PATCH Act。但令他擔(dān)心的是，立法者在討論為非中立實體授權(quán)的問題。

喬伊斯認(rèn)為，目前的程序帶來平衡效果，該程序已經(jīng)“傾向于”披露。VEP監(jiān)督框架如今支持“防御”......因其了解漏洞的重要性，哪些行業(yè)在使用，以及即使沒有補(bǔ)丁的情況下，是否具有緩解措施?

但政府官員在確定何時需要保留漏洞的問題上，正在做“模糊”決策，因為美國政府需要漏洞提供的網(wǎng)絡(luò)間諜能力。

目前，VEP由非情報機(jī)構(gòu)官員組成的白宮委員會牽頭。自2014年4月以來，所有新的、非公開已知漏洞都提交到了直通白宮的這個程序中。

對手國家或因此受益

前官員將披露更多0day漏洞稱之為“單方面裁軍”，因為美國的對手將不會“鸚鵡學(xué)舌”。

喬伊斯還表示，值得注意的是，對手的情報機(jī)構(gòu)，例如朝鮮、俄羅斯和伊朗并不具有VEP這類程序，這更容易讓美國受到傷害。權(quán)衡折中并非易事，因此，美國政府制定規(guī)則指導(dǎo)機(jī)構(gòu)制定決策。

這些規(guī)則可能追溯到過去十年的布什政府時期。

隨著網(wǎng)絡(luò)上泄露一系列強(qiáng)大的NSA黑客工具(利用Windows軟件零日漏洞)，這些規(guī)則就受到新審查。盡管有VEP的相關(guān)規(guī)定，但NSA卻秘密囤積了漏洞，而目前正被網(wǎng)絡(luò)犯罪分子和黑客大肆利用。