政府部门的大多数人现在有义务参与主动性
这美国政府已经发布了一项新的指令,要求所有执行机构实施漏洞披露政策(VDP)以帮助确保其网络。
运营指令发布由国土安全部的网络安全和基础设施安全局(CISA)将使“最”政府机构强制成为公众使用的易于访问的安全披露计划。
那个报告,BOD 20-01,于去年11月发布公众评论。CISA表示,它从安全研究人员,学者和联邦机构获得了200多个建议。
本周发布了最终草案,为如何实施VDP提供联邦机构的指导。
如同BUG啤酒,其中提供对消除安全漏洞的研究人员的金融奖励,VDP是一种允许道德黑客报告错误的政策,尽管没有现金激励。
安全港口条款通常添加到VDP,使研究人员能够在不担心法律谴责的情况下测试系统和网络。
'像拨号911'一样简单
“BOD 20-01是CISA重新承诺的一部分,使脆弱性披露在平民行政部门概念上概念上,因为拨打911,”CISA读取的一份声明。
这将通过使机构特定的VDPS轻松访问 - 例如,通过添加易于查找的安全联系和公开发布安全策略的详细信息来实现。
CISA还将作为绝对不能直接向美国政府机构向美国政府机构报告的备用问题。
有关的美国政府提供有关选举中的网络干涉的信息1000万美元奖励
该声明读取:“要集中部分这项工作,CISA将在明年春天提供漏洞披露平台服务。
“我们希望这将减轻机构的运营,减轻其根据此指令的报告负担,并提高可发现性漏洞记者。“
欢迎新闻
亚历克斯赖斯,首席技术官和Bug Bounty Platform Hackerone的联合创始人欢迎改变。
“海克诺认为,CISA的约束力的运营指令是在使命恢复数字民主的信任并保护联邦信息系统的完整性的关键里程碑。”
“每个组织,尤其是保护敏感信息的组织,都应有一个朝着潜在的安全差距报告的公开方式。”
米饭补充说:“政府在大部分企业美国前进。Hackerone鼓掌CISA的详细实施指南,我们渴望在未来的重要工作中协助联邦实体。
“从现在开始,我们将回顾一下这一刻,将其视为美国争取可信赖技术的转折点。”
安全步骤
在CISA宣布将为州,地方,部落和领土组织提供资金以访问DNS安全工具的资金。
恶意域阻塞和报告服务是由CISA与Akamai和Internet安全中心建造的。
该机构表示,SLTT安全团队将能够作为12个月课程的一部分访问该工具。
