查看原文
其他

美国政府本周发布第二份漏洞披露政策

2016-11-24 E安全 E安全

E安全11月24日讯 继本周一美国国防部公布“漏洞披露政策”,允许自由安全研究人员通过合法途径披露国防部公众系统存在的任何漏洞后,美国国防部美国总务管理局(General Services Administration,GSA)技术转让机构(Technology Transfer Service)周二发布政策,将授权公民通过合法途径检测,并向机构通报大量公众政府网站的安全漏洞。

漏洞披露政策允许检查五大GSA网站的漏洞,网站如下:

vote.gov

analytics.usa.gov

calc.gsa.gov

micropurchase.18f.gov

18f.gsa.gov

 该项政策将包含所有TTS(技术转让机构)运营系统。报告应包含漏洞的位置和潜在影响,复制漏洞的必需步骤以及问题再现的技术问题。该政策要求,通报GSA后90天,通报人必须对发现的漏洞保密。

18F的Kimber Dowsett发博文表示,“虽然项目严格遵守安全标准,但金无足赤。 总是会有组织机构之外的更多专业知识,外部安全研究人员应该会认为这是在向内部员工举红旗。最重要的是,我们保护政府系统和公众委托的信息。我们不关心漏洞提交人,我们只希望就尽快进行修复。”

这是美国政府在本周发布的第二项相关指南。

TTS政策与国防部政策的不同之处在于,与漏洞赏金计划物管。目前,目前发现美国总务管理局网站的漏洞没有任何奖励,但是该政策提出潜在漏洞赏金计划的运作方式。

相关阅读查看:

美国国防部公布漏洞披露政策 黑客可访问政府系统(附披露政策全文)

美国陆军“黑进军队”(Hack the Army) 网络漏洞悬赏计划 中文版

E安全门户网站11月24日更多网络安全资讯(easyaq.com):

  • FBI展开史上最大规模网络行动 针对120个国家8000个IP进行入侵

  • 美国海军遭遇黑客入侵 13.4万名士兵信息泄露

  • 微软同意与安全企业FireEye共享Windows 10遥测数据

  • Tropic Trooper APT组织攻击台湾政府和能源公司

  • Realtek音频芯片曝致命硬件缺陷:声卡被攻击中招率100%

  • 关于举办“云计算与大数据背景下的安全挑战与对策” 研修班的通知

  • .............

E安全注:本文系E安全独家报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com

@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存