安全内参编译 2024-08-13 16:38 北京
供应商也需强制实施漏洞披露政策
关注我们
带你读懂网络安全
该立法提案要求联邦和国防供应商全部强制实施漏洞披露政策,执行和联邦机构一致的漏洞披露要求,以实现漏洞消减目标。
前情回顾·美国网络安全立法动态
安全内参8月13日消息,美国两党9日宣布联合推出一项立法提案,旨在加强联邦承包商的漏洞披露规则。提案发起人为民主党参议员Mark R. Warner和共和党参议员James Lankford。
该法案全称为2024年《联邦承包商网络安全漏洞消减法案》。法案要求美国联邦承包商遵守国家标准与技术研究院(NIST)制定的漏洞披露指南,从而减轻网络攻击的影响。
具体而言,该法案将要求管理与预算办公室(OMB)监督《联邦采购法规》的更新工作。更新后的法规将要求,联邦承包商实施与联邦机构要求一致的漏洞披露政策。
此外,新法案将要求国防部长监督《国防联邦采购条例补充》合同要求的更新工作。更新后的条例将要求国防承包商实施类似的政策。
对于已经实施漏洞披露政策(VDP)的组织,研究人员如在这些组织的软件产品中发现漏洞,将有途径进行报告,以便在漏洞被利用进行攻击之前进行处理。
参议员们认为,接收漏洞报告能够让开发人员和服务提供商意识到问题。目前,美国要求联邦民事行政部门实施漏洞披露政策,联邦承包商却不受约束。
新法案将要求联邦承包商实施漏洞披露政策,并落实正式的漏洞报告接收、评估和管理流程,从而减少已知的安全漏洞。
随着联邦承包商实施漏洞披露政策,安全研究人员将能够直接向他们报告漏洞,而无需向联邦机构进行额外报告。
Mark R. Warner 表示:“漏洞披露政策是主动识别和解决软件漏洞的关键工具。新法案将确保联邦承包商及联邦机构遵守国家指南,更好地保护我们的关键基础设施和敏感数据免受潜在攻击。”
参考资料:securityweek.com
推荐阅读
点击下方卡片关注我们,
带你一起读懂网络安全 ↓
