白宫网络安全协调员罗伯·乔伊斯本周在波士顿举办的科技领袖会议上表示，特朗普政府已经在关注一项政策程序改革提议，即决定如何处理新发现的软件零日漏洞。

该政策程序被称为“漏洞公平裁决程序”(Vulnerability Equities Process，VEP)，规定了政府官员判断是否将漏洞披露给软件制造商的具体方法，以提醒制造商打补丁，确保所有用户安全，或秘密存储并用来监视美国对手。

前政府官员表示，这一程序需要“大动刀”，国会议员于当地时间上周三提出《保护能力，打击黑客法案》(PATCH Act)法案。

PATCH Act法案将解决哪些问题?

PATCH Act在增加VEP监督框架的透明度，并解决当前框架中的棘手问题，包括谁负责多机构审查委员会，负责制定决策以及何时披露漏洞等问题。

此外，该法案还还提供决策制定标准，并描述审查委员会(包括商务部长和国家情报总监)需权衡的考虑。

漏洞公平裁决程序的利弊

乔伊斯称，特朗普政府官员正在与法案的支持者接洽，草案需要进一步修订。政府官员目前正在与国会合作研究PATCH Act。但令他担心的是，立法者在讨论为非中立实体授权的问题。

乔伊斯认为，目前的程序带来平衡效果，该程序已经“倾向于”披露。VEP监督框架如今支持“防御”......因其了解漏洞的重要性，哪些行业在使用，以及即使没有补丁的情况下，是否具有缓解措施?

但政府官员在确定何时需要保留漏洞的问题上，正在做“模糊”决策，因为美国政府需要漏洞提供的网络间谍能力。

目前，VEP由非情报机构官员组成的白宫委员会牵头。自2014年4月以来，所有新的、非公开已知漏洞都提交到了直通白宫的这个程序中。

对手国家或因此受益

前官员将披露更多0day漏洞称之为“单方面裁军”，因为美国的对手将不会“鹦鹉学舌”。

乔伊斯还表示，值得注意的是，对手的情报机构，例如朝鲜、俄罗斯和伊朗并不具有VEP这类程序，这更容易让美国受到伤害。权衡折中并非易事，因此，美国政府制定规则指导机构制定决策。

这些规则可能追溯到过去十年的布什政府时期。

随着网络上泄露一系列强大的NSA黑客工具(利用Windows软件零日漏洞)，这些规则就受到新审查。尽管有VEP的相关规定，但NSA却秘密囤积了漏洞，而目前正被网络犯罪分子和黑客大肆利用。