E安全8月26日讯 美国众议院情报委员会的年度情报法案正盯上一个计划，那就是由联邦政府披露的网络漏洞。

该法案在七月份以14比1的票数通过，要求美国情报委员会的每个部门领导向国会提交一份报告详细阐述该计划，并列出标准以判断漏洞是否需要提交并接受VEP（Vulnerabilities Equities Process）审查。

VEP项目：

由奥巴马政府创立的VEP项目，是政府的漏洞披露平台，这些漏洞既有公众披露的，也有网络安全部门披露的。政府持有这些被曝光的漏洞（包括零日漏洞），作为收集目标情报的一种手段。VEP目前还仅限于一项政策，政府已经引入立法将其完善。

这些在美国众议院情报委员会法案中作为概述出现的报告会提交给美国国会，报告本身或许不属于加密文件，但却可能包含机密内容。

此外，该法案指定了美国国家情报局的负责人每年至少要提交一份报告，详述过去一年情报委员会提交的漏洞总量供审查，以及有多少漏洞披露给了需负责漏洞修复的厂商；有多少漏洞自上一次披露以来被修复，有多少自漏洞曝光180天以来尚未被修复。

同样，美国白宫情报委员会的年度情报法案也要求出具网络漏洞的报告。

一些全球网络事件涉嫌利用从NSA窃取的漏洞制造混乱。政府持有这些曝光的漏洞作为获取目标情报的一种方式。专家以及现任和前任政府官员都认为持有这些漏洞对于保障国家安全具有重要意义。但公民自由论者和私营IT公司则认为政府持有这些漏洞反而创造了一种危险的环境。

美国众议院情报委员会的这项法案还在政府内部解决了漏洞奖励的问题，这个问题对于硅谷和私企而言是一个相对较新但又熟悉的事物，因为他们都会在公司内部设置漏洞赏金。

美国国防部设立了一个名为“黑入五角大楼”的赏金计划，而后陆军和空军也纷纷效仿。

美国众议院情报委员会的法案要求负责美国国土安全部的情报和分析的副部长提交一份战略性计划，以便在政府内部合适的机构中部署漏洞赏金计划。

该报告还要对“黑入五角大楼”计划和私企赏金计划的有效性以及启动赏金计划的可行性做出评估。

注：本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com/news/2098103054.shtml

▼点击“阅读原文” 下载E安全APP