美国司法部（DOJ）刑事部门网络安全分部日前打造了“在线系统漏洞披露计划框架”，旨在帮助组织机构开发正式的漏洞披露计划。

实际上，现在越来越多的企业机构都已经意识到，漏洞奖励计划有助于更高效地发现网络和应用中的漏洞。很多大型私有企业这些年一直在实施漏洞奖励计划。FreeBuf 先前曾经采访过 HackerOne 的 COO 王宁，她在采访中提到漏洞奖励计划对于安全而言的高性价比，因为这是一种按劳支付的方式。

国内如腾讯、百度、新浪、网易等大型厂商都成立了安全应急响应中心，还有一些如漏洞盒子专门的众测平台，为厂商和白帽子搭建桥梁，为国家安全做出贡献。国家应急响应中心和国家信息安全漏洞库，也都是国家在信息安全和漏洞披露方面所提供的支持。

同样，美国政府也针对漏洞披露采取了一些重要措施。

美国政府的漏洞披露举措

美国国防部通过安全漏洞披露平台“HackerOne”运营三大漏洞奖励项目：“入侵五角大楼（Hack the Pentagon）”，“入侵陆军（Hack the Army）”和“入侵空军（Hack the Air Force）”。此外，美国总务署（GSA）在五月宣布成立漏洞奖励计划，随后参议员提出了新的议案，计划在国土安全部内部建立漏洞奖励试点计划。

而此次美国司法部计划打造的框架对于公共和私有组织机构都能提供有效帮助，这次的框架没有局限于项目形式或目标，而是重在描述有授权的漏洞发现和披露行为，减少挖洞过程中违反CFAA（《计算机欺诈与滥用法案》）的情况发生。

　　按框架行动，打造漏洞提交四部曲

第一步是设计项目：确认项目中使用的网络组件和数据、确定需要使用或排除的漏洞类型和安全实践；另外还要指明第三方组件或数据是否应当包含在项目中，以及是否需要获得额外授权；司法部还建议组织机构在设计阶段参考 18F （数字服务机构）的漏洞披露计划、国家电信与信息管理局（NTIA）的漏洞披露做法，以及国际标准组织（ISO）的相关指南。

第二步则涉及项目管理：确定漏洞上报方式、分配好接收漏洞报告的入口、指明解答项目相关问题的人员，以及确定如何处理意外事件和故意违反漏洞政策的行为；

第三步则起草策略：明确描述企业组织针对某些问题的态度：包括授权或未授权的行为、数据访问限制、不遵守策略的后果、项目覆盖的系统和数据等。同时还鼓励研究人员联系组织机构反馈项目未解决的问题，并指明在披露流程中还需要与美国计算机应急响应小组US-CERT、美国工控系统网络应急响应小组ISC-CERT等机构协作；

第四步实施项目：该框架提出应当让企业漏洞的披露策略易于获取，并鼓励找漏洞的用户通过其项目披露系统中的任何漏洞。

FreeBuf 随后会有关于这个框架的详细解读，敬请期待。

*参考来源：Securityweek，AngelaY 编译，转载请注明来自 FreeBuf.COM