给白帽子撑腰，美国政府要求民间机构设立白帽友好的漏洞披露策略( 三 )_点击蓝字关注我们联邦政府在与外界安全

大多数具备前瞻性思维的企业现在都认识到，已出现活跃的有益黑客生态系统，而非以往惯常认知中的捣蛋黑客。但尽管漏洞奖励项目兴盛不衰，仍然不乏企业和公共事业机构仍旧缺乏漏洞披露策略、门户，或者安全文化。

从发布之日起截止 2019 年 12 月 27 日， CISA 都在征集对此指令草案的意见。作为标准，该指令要求每个机构都发展并发布漏洞披露策略 (VDP) ，保持支持处理程序。正如 CISA 指出的：通过鼓励联邦机构与公众间有意义的协作，漏洞披露策略可以增强政府在线服务的弹性。这有助于保护公众交托给政府的信息，并赋予联邦网络安全团队更多的数据以保护他们的机构。

该举措将受到安全公司和安全研究人员的强烈欢迎。而在大西洋彼岸的英国，政府机构在设置此类漏洞奖励项目上向来以迟缓著称；尽管英国国家网络安全中心 (NCSC) 在 2018 年12 月就设置了门户网站，允许安全研究人员直接向其报告公共机构漏洞。