美国政府漏洞披露政策平台的成就与挑战

关键要点

自2021年推出以来，美国政府的漏洞披露政策平台收到了超过12000个漏洞报告，为政府节省了数百万的修复成本。CISA的漏洞披露政策VDP平台在其前两年覆盖了51个美国政府机构，专家认为增加奖金、整合其他机构的漏洞披露工作等措施将进一步增强其能力。最新报告显示，CISA估计在2023年为联邦政府节省了约445万美元的修复费用，且在该平台上处理了超过12000份提交。尽管CISA的VDP在政府机构中覆盖广泛，但还有其他机构如国防部、商务部等也有自己的漏洞披露项目，可能导致混淆。

自2021年推出以来，CISA的漏洞披露政策VDP平台已经积累了超过12000个bug报告，为美国联邦政府节省了估计445万美元的潜在修复费用。根据CISA的最新年报，自该平台启动以来，已处理了超过12000份提交其中2023年超过7000份，并确认了2400多个独特的有效漏洞披露，联邦机构已经修复了其中的2000个。自2021年起，超过3200名安全研究人员通过VDP平台参与了联邦民事执行部门的工作。

HackerOne的首席法律官兼政策官Ilona Cohen指出，白宫办公厅预算管理局将VDP评估为“获取有关安全漏洞信息的新见解和提供高投资回报的最有效方式之一”。她对CISA的VDP给予了高度评价。

“CISA要求民用机构使用VDP促进了这一最佳实践在美国政府的采用，”Cohen表示。 “CISA还为感兴趣的机构提供资源，推广更简化的漏洞管理方法，确保漏洞得到处理，而不是被忽视并面临被恶意攻击者利用的风险。”

CISA的VDP是什么？

漏洞披露政策VDP是一个公共平台，允许第三方，通常是经验丰富的安全研究人员，向软件供应商的安全团队报告漏洞，以便他们快速评估和修复这些漏洞。VDP有时与奖金计划一起建立，向发现漏洞的研究人员支付报酬。

CISA的VDP平台自2021年开始运营，是一个集中管理的软件即服务SaaS系统，旨在收集漏洞信息并与安全研究社区合作以改善机构网络安全。该平台是在两个令人信服的操作指令BODs下建立的，分别是BOD 2001和BOD 2201。

白鲸加速器注册

该平台为政府机构提供多项好处，包括提交信息的基本级验证、满足BOD报告要求的指标、合规测量以及漏洞奖金支持。根据最新的年报，CISA在2023年在其51个机构中支付了335万美元的奖金，涵盖2400个漏洞。

Chris Wysopal，Veracode的CTO表明，拥有漏洞披露程序对确保软件安全至关重要。他告诉CSO：“CISA在其安全设计文档中指出，‘你应该这样做’。如果你要开发安全软件，这是你应该做的事情。这几乎是普遍接受的。”

威胁研究人员认为，包括美国政府在内的每个大型组织都应该有一个VDP程序。Trend Micro的零日倡议的威胁意识主管Dustin Childs称赞道：“从表面上看，CISA的项目非常好。每个企业，尤其是像美国政府这样的大型企业，都应该有一些漏洞披露平台。”

Cloudflare的首席安全官Grant Bourzikas也对CISA的VDP持积极看法。他表示：“像CISA的VDP这样的流程和指导是减少风险并主动推动变革的一步。访问一个能够快速接收、分类和转发公开披露漏洞的统一平台，将