本周一,美国国防部公布“漏洞披露政策”,允许自由安全研究人员通过合法途径披露国防部公众系统存在的任何漏洞。这项“漏洞披露政策”(Vulnerability Disclosure Policy)旨在允许黑客在不触犯法律的前提下访问并探寻政府系统。国防部长Ash Carter在博文中表示,“我们希望该项政策使漏洞源源不断披露,从而便于我们迅速发现并修复漏洞。最终使国防部、服务人员以及公众会更为安全。”该项目由HackerOne公司管理。今年早些时候,Hackerone曾负责管理国防部“黑掉五角大楼”试点项目。
上月,HackerOne和Redwood City赢得该项目合同。按照合同规定,众包安全研究人员可以使用国防部的应用程序、网站和网络,寻找漏洞。
周一也是Hackerone悬赏项目“黑掉军队”(Hack the Army)的首个注册日。该项目针对面向公众的军队网站。
Carter写到,“漏洞披露政策”和“黑掉军队”项目表明国防部致力创新并采用商业最佳实践。国防部一直专注于安全现代化,并寻求方式挖掘人才资源。
军队不是采用漏洞赏金计划的唯一政府部门。上周,美国国税局宣布与Synack达成协议,在允许黑客进入并探索政府系统之前,会进行审查。Synack称,与传统大众漏洞赏金项目不同的是,该项目会严厉审查并追踪白帽子黑客,确保客户对所有Synack“红队”活动持续可见并进行管理。
该项目可谓顺应趋势。技术行业外的组织机构也允许自由黑客发现系统漏洞,并进行悬赏。
美国国防部安全漏洞披露政策
目的
此项政策的目的在于为安全研究人员的漏洞发现活动提供明确的指导方针,契合美国国防部的网络属性并将所发现的漏洞结论提交至国防部。
概述
在美国国防部,维持网络安全性是一项高优先级事务。我们的信息技术为美国军方服役人员、军人家属以及国防部员工及承包商提供多种关键性服务。最终,我们的网络安全性能够确保我们得以完成自身使命并保卫美利坚合众国。
安全研究人员社区定期为组织及广泛的互联网安全领域作出宝贵贡献,而美国国防部亦意识到与该社区的密切合作将有助于提升自身安全性水平。因此,如果您从美国国防部网站或者其他Web应用当中发现了安全漏洞,我们希望能够得到您的协助!
基于此项政策被提交至国防部的信息将被用于防御性举措——旨在缓解或者修复存在于网络、应用乃至供应商应用当中的安全漏洞。
这是美国国防部首次尝试在研究人员与国防部之间建立起积极的反馈流程体系——如有不尽人意之处,请您耐心等待,我们会随时调整并更新这一流程。
请在对国防部网络进行任何测试以及提交报告之前,查阅、了解并同意以下条款与说明。谢谢您。
范围
任何由美国国防部拥有、运营或者控制的面向公众之网站,包括托管于此类网站之上的Web应用。1
如何提交报告
请提供与漏洞相关的详尽信息,具体包括:问题类型; 包含该bug的软件产品、版本与配置; 可重现此问题的分步指令; 概念验证(POC)说明; 问题影响; 以及您据此给出的适当缓解或者补救措施。
通过点击“提交报告”,您同时表明您已经查阅、了解并同意此份政策当中描述的各项适用于对国防部信息系统内漏洞或者安全研究发布指标相关的指导意见,且同意将当前及后续通信内容存储于美国政府信息系统当中。
指南
美国国防部认为发现、测试并提交安全漏洞2或者漏洞指标的安全研究人员遵循以下指导意见:
· 您的行动受限于——
测试以检测安全漏洞或者发现与安全漏洞相关的指标;3 与美国国防部共享或者接收来自国防部的安全漏洞信息,或者与安全漏洞相关的指标。
· 您不会危害亦不会在最低验证或者漏洞指标核实测试要求范畴之外利用任何安全漏洞。
· 您会房间避免访问任何存储在国防部信息系统内的通信、数据或者信息内容——除非信息与安全漏洞直接相关,访问信息为验证安全漏洞存在的必要步骤。
· 您不会在任何情况下泄露任何数据。
· 您不会故意侵害美国国防部人员(例如文职人员或者军事人员)或者第三方相关者的隐私及人身安全。
· 您不会故意危害与任何国防部人员、职能实体或者其它第三方相关的知识产权或者其它商业或财务利益。
· 除非收到美国国防部发出的明确书面授权,否则您不会公开透露关于安全漏洞的任何细节信息、安全漏洞指标或者提供与特定漏洞内容相关的信息。
· 您不会进行拒绝服务测试。
· 您不会针对国防部人员或者承包商执行社交工程攻击,包括鱼叉式钓鱼攻击。
· 您不会提交篇幅冗长但质量低下的报告。
· 如果您无法确定是否应继续进行测试,请与我们的团队进行联系。
我们的配合工作
我们将认真对待每一项漏洞披露报告,且诚挚感谢安全研究人员为此付出的努力。我们将调查每一项披露内容,力争采取适当步骤以减轻风险并修复漏洞。
美国国防部拥有一套独特的信息与通信技术设施,其中各项要素紧密交织且实施全球性部署。国防部内有大量技术部署在作战区域,并各自以不同程度支持着当前正在进行的军事行动本文由E安全译制。美国国防部系统与应用的正常动作可能决定着现役军人及美国的国际盟友与合作伙伴的生命财产安全。美国国防部必须在高度谨慎的前提之下调查安全漏洞的影响,同时寻求实现修复的方法,在此期间请您保持耐心,等待我们的后续反馈。
美国国防部致力于公开且尽快与研究人员进行协调,具体举措包括:
· 在三个工作日内,我们将确认收到您提交的报告。国防部的安全团队将调查此份报告并可能与您联系以了解更多信息。
· 我们将尽自身所能确认安全漏洞的存在,并向研究人员提供后续信息以及当前的漏洞修复工作进度。
· 我们希望各位研究人员能够公开承认自己的贡献——如果与个人意愿不相违背的话。我们将努力允许研究人员将发现与其自身联系起来。注意,只有经过美国国防部的局面同意之后,漏洞相关信息方可进行公开披露。
根据此项政策提交至国防部的信息将被用于防御性目的——包括缓解或者修复存在于我方网络或应用乃至供应商应用中的安全漏洞。
法律
您必须遵守所在地联邦、州及当地法律,以确保您的安全研究活动或者其它漏洞披露计划参与行为不与法律条文相违背。
美国国防部不会授权、许可或者以其它方式批准(明示或者默示)任何人,包括任何个人、团体、联盟、合作伙伴或者其它商业或者法律实体执行任何与本政策或者法律相抵触的安全研究或者漏洞或威胁情报公开行为。如果您参与了任何与本项政策或者法律条文相违背的活动,则可能因此承担相关刑事及/或民事责任。
对于任何涉及非国防部实体(例如其它政府部门或者机构; 州、地方或者乡镇级政府; 私营企业或者个人; 任何职能实体的员工或者个人; 或者其它任何第三方)内网络、系统、信息、应用、产品或者服务的安全研究或者安全漏洞发现活动,各非国防部第三方皆可自主决定是否采取法律行动或者补救措施等加以应对。
如果您的安全研究以及漏洞发现行为充分符合本项政策中的限制与指导规定,(1)国防部不会发起或者支持任何指向您的执法及民事诉讼活动,且(2)如果除国防部之外的某方对您进行执法或者民事诉讼,国防部方面将采取措施以证明您的行为拥有依据且并不与政策相违背。
美国国防部可能在任何时候对这一政策中的条款内容加以修改或者终止此项政策。
1 这些网站共同构成由6 U.S.C. 1501(9))所定义的“信息系统”概念。
2 关于本项政策当中提及的安全漏洞,请参考6 U.S.C. 1501(17)当中定义的“安全漏洞”概念。
3 如果与此项政策中的条款相一致,则相关行为即符合6 U.S.C. 1501(7))当中定义的“防御性措施”概念。
本文转自d1net(转载)