专家表示政府漏洞公开裁决程序应编入法律


2017年RSA大会专家小组建议将联邦机构决定是否公开或保留软件漏洞的程序编入法律。

在过去一年,美国国家安全局因其披露或保留漏洞用于情报收集目的的模糊政策而饱受争议,专家们称这是因为漏洞公开裁决程序目前为自愿执行,而不是强制执行的。

漏洞公平裁决程序旨在帮助政府机构决定是向开发者披露已经获得或发现的漏洞,还是保留漏洞用于情报机构、执法机构或者其他目的。

Mozilla公司高级政策经理兼美洲区负责任Heather West表示,该程序已初见成效。

“目前在漏洞披露方面有着非常完善的规范,并且还在不断改进中。很多人都在谈论它们,遵循这些最佳做法非常重要,”West在2017年RSA大会上表示,“我们不需要对漏洞披露重新构建程序;我们只需要确保漏洞被披露出来。”

美国外交关系委员会高级研究员Rob Knake称,漏洞公开裁决程序编入法律并不会让其运作方式发生太大改变,但这将提高对该程序的信任水平。

“现在有很多人质疑这个程序是否已部署到位,”Knake称,“我认为将它作为一项法律,将其变成要求的话,联邦政府和联邦雇员就很难会违反这些法律,如果违法则需要接受处罚。目前,对于保留漏洞信息的机构或者个人并没有处罚。所以,我认为这不会带来实质性的变化,但它会增加对该程序的信任水平。”

West称编入法律可以带来信任、国会监督和其他“附带好处”。

“目前在联邦机构方面,这个程序为自愿进行的。有些机构采取的立场是他们所有知道的漏洞都应该通过VEP,我很赞同这一做法。而其他机构(特别是FBI)则更加谨慎,因为他们想要保留漏洞,”West称,“在我看来,VEP程序运行得如此之好是因为它在政府范围内平衡了公平裁决程序。”

Lawfare研究员兼管理研究和管理编辑Susan Hennessey指出,法律会增加透明度和问责制,而且还可以解决大家对这种管理的顾虑。

Hennessey称:“我不认为这是一个有争议的声明;只是有人担忧。所以目前我认为最好制定实际的法律,让人们认识到联邦政府内部没有自由裁决权。”

漏洞公平裁决程序监管

然而,专家们对该程序的执行秘书处应该位于政府什么位置并没有达成共识。执行秘书处负责监管该程序,包括当确定应该披露漏洞时通知联系人以及编制年终报告。该职责目前交由美国国家安全局的信息保障局,但Hennessey和Knake认为这应该转移到国土安全部。

“一直以来,特别是在过去几年对DHS有着非常强的依赖,因为DHS与公众有着非常良好的关系,他们与公共部门也保持很好的关系,并且有着良好的隐私声誉,”Hennessey称,“而NSA在这些方面还需要努力。”

但美国国土安全部企业绩效管理办公室主任Neil Jenkins拒绝对是否将漏洞公平裁决程序编入法律发表正式评论,但他认为国土安全部也不是最佳选择,如果交由国土安全部,则对该程序的监管应采取不同的方法,例如更加跨机构的方法。

发表评论