據FCW網站9月2日報道，美國管理和預算辦公室(OMB)和網絡安全和基礎設施安全局(CISA)分別發布了備忘錄和約束性操作指令《制定和發布漏洞披露政策》，指導聯邦機構如何設置其漏洞研究和披露程序。

[[340652]]

根據CISA指令，在六個月內，各聯邦機構必須發布漏洞披露政策，概述所涵蓋的系統，外部安全研究人員如何報告，機構將如何以及何時進行響應，以及明確承諾不會針對遵守規則的主體采取法律行動。

而且，這些機構不能要求安全研究人員提供個人身份信息，需允許匿名提交，并且在“合理的時間限制”之外，不得干涉限制研究人員向其他人披露漏洞的行為。

CISA助理總監Bryan Ware表示，CISA將在明年春季建立一個新的漏洞披露平臺服務。

九個月后，這些機構必須至少有一個互聯網訪問系統或服務符合條件，并且在兩年之內必須使所有系統符合標準。

OMB 的備忘錄規定，機構的計劃應與當前的聯邦法律以及國際標準(例如由國際標準化組織或國際電工委員會制定的國際標準)緊密結合。

此外，OMB警告，盡管漏洞賞金可以吸引安全研究人員，幫助機構發現軟件漏洞，但各機構必須認真評估安全方面可持續發展所需的成本。其表示，目前已經與網絡安全和基礎設施安全局，及其他機構建立合作關系，主要是為了將該計劃大范圍推廣實行。

參議員Ron Wyden(D-Ore)在一份聲明中說：網絡安全研究人員自愿發現并報告了威脅美國人安全和隱私的問題，他們實際上提供了很大的公共服務，政府應該對他們表示嘉獎，CISA這一行為可以改善多年來政府機構來起訴網絡安全研究人員而造成的負面影響。

參考來源：https://fcw.com/articles/2020/09/02/johnson-vdp-bugs-cisa-omb.aspx