E安全8月4日讯，美国司法部（DOJ）犯罪科网络安全部门7月发布《在线系统漏洞披露计划框架》，以帮助组织机构制定正规的漏洞披露计划。

越来越多的组织机构认识到，漏洞悬赏计划对于发现网络及应用程序中的安全漏洞相当奏效。大多数大型私有企业数年来一直在实施此类计划，美国政府这方面也采取了重要举措。

美国国防部通过安全漏洞披露平台“HackerOne”运营三大漏洞悬赏计划（“黑进五角大楼”--Hack the Pentagon，“黑进陆军”--Hack the Army和“黑进空军”--Hack the Air Force）推动这项工作。

美国总务管理局（GSA）5月也宣布启动漏洞悬赏计划。此外，参议员也提出一项新法案在国土安全部（DHS）构建漏洞悬赏试点计划。

司法部制定的框架可以帮助公共和私有部门的组织机构设计漏洞披露计划。此框架不会规定漏洞披露计划的形式或目标，而是侧重描述授权发现与披露行为，以减少在民事或刑事上违反《计算机欺诈与滥用法》（CFAA）的可能性。

司法部这份框架规定，首要步骤是设计计划，包括决定计划涉及的网络组件和数据，决定要包含或排除的漏洞类型和安全实践，并确定是否应包含第三方组件或数据，以及是否需要获取额外授权。

司法部还建议组织机构在设计阶段参考18F的漏洞披露计划、国家电信与信息管理局（NTIA）的漏洞披露做法、以及国际标准组织（ISO）的相关指南。

框架推荐的第二个步骤是管理计划。具体而言，该步骤包括：确定如何报告漏洞，分配接收漏洞报告的联络人或部门，确定解答计划相关问题的工作人员，并确定如何处理意外和故意违反该漏洞政策的行为。

第三步是起草政策，准确无误地描述组织机构的意图。这部分工作包括：描述授权与非授权行为、计划覆盖的系统和数据，详细说明数据访问限制，解释违反此政策的后果，鼓励研究人员联系组织机构解答政策未解决的问题，并且有必要在披露过程中囊括协调中心（例如美国计算机紧急响应小组US-CERT，美国工控系统网络应急响应小组ICS-CERT）。

最后一步：实施计划。框架建议组织机构使披露政策易于获取、广泛可用，并鼓励寻找系统漏洞的用户通过该计划披露任何漏洞。