美國(guó)眾議院情報(bào)委員會(huì)的年度情報(bào)法案正盯上一個(gè)計(jì)劃，那就是由聯(lián)邦政府披露的網(wǎng)絡(luò)漏洞。

該法案在七月份以14比1的票數(shù)通過，要求美國(guó)情報(bào)委員會(huì)的每個(gè)部門領(lǐng)導(dǎo)向國(guó)會(huì)提交一份報(bào)告詳細(xì)闡述該計(jì)劃，并列出標(biāo)準(zhǔn)以判斷漏洞是否需要提交并接受VEP(Vulnerabilities Equities Process)審查。

VEP項(xiàng)目：

由奧巴馬政府創(chuàng)立的VEP項(xiàng)目，是政府的漏洞披露平臺(tái)，這些漏洞既有公眾披露的，也有網(wǎng)絡(luò)安全部門披露的。政府持有這些被曝光的漏洞(包括零日漏洞)，作為收集目標(biāo)情報(bào)的一種手段。VEP目前還僅限于一項(xiàng)政策，政府已經(jīng)引入立法將其完善。

報(bào)告的相關(guān)要求

這些在美國(guó)眾議院情報(bào)委員會(huì)法案中作為概述出現(xiàn)的報(bào)告會(huì)提交給美國(guó)國(guó)會(huì)，報(bào)告本身或許不屬于加密文件，但卻可能包含機(jī)密內(nèi)容。

此外，該法案指定了美國(guó)國(guó)家情報(bào)局的負(fù)責(zé)人每年至少要提交一份報(bào)告，詳述過去一年情報(bào)委員會(huì)提交的漏洞總量供審查，以及有多少漏洞披露給了需負(fù)責(zé)漏洞修復(fù)的廠商;有多少漏洞自上一次披露以來被修復(fù)，有多少自漏洞曝光180天以來尚未被修復(fù)。

同樣，美國(guó)白宮情報(bào)委員會(huì)的年度情報(bào)法案也要求出具網(wǎng)絡(luò)漏洞的報(bào)告。

一些全球網(wǎng)絡(luò)事件涉嫌利用從NSA竊取的漏洞制造混亂。政府持有這些曝光的漏洞作為獲取目標(biāo)情報(bào)的一種方式。專家以及現(xiàn)任和前任政府官員都認(rèn)為持有這些漏洞對(duì)于保障國(guó)家安全具有重要意義。但公民自由論者和私營(yíng)IT公司則認(rèn)為政府持有這些漏洞反而創(chuàng)造了一種危險(xiǎn)的環(huán)境。

漏洞懸賞

美國(guó)眾議院情報(bào)委員會(huì)的這項(xiàng)法案還在政府內(nèi)部解決了漏洞獎(jiǎng)勵(lì)的問題，這個(gè)問題對(duì)于硅谷和私企而言是一個(gè)相對(duì)較新但又熟悉的事物，因?yàn)樗麄兌紩?huì)在公司內(nèi)部設(shè)置漏洞賞金。

美國(guó)國(guó)防部設(shè)立了一個(gè)名為“黑入五角大樓”的賞金計(jì)劃，而后陸軍和空軍也紛紛效仿。

美國(guó)眾議院情報(bào)委員會(huì)的法案要求負(fù)責(zé)美國(guó)國(guó)土安全部的情報(bào)和分析的副部長(zhǎng)提交一份戰(zhàn)略性計(jì)劃，以便在政府內(nèi)部合適的機(jī)構(gòu)中部署漏洞賞金計(jì)劃。

該報(bào)告還要對(duì)“黑入五角大樓”計(jì)劃和私企賞金計(jì)劃的有效性以及啟動(dòng)賞金計(jì)劃的可行性做出評(píng)估。