美国家标准与技术研究院发布《对联邦漏洞披露指南的建议》
💡
原文中文,约13600字,阅读约需33分钟。
📝
内容提要
美国国家标准与技术研究院发布了《对联邦漏洞披露指南的建议》(NIST SP 800-216),提供了建立联邦漏洞披露框架的指导建议。该框架适用于联邦控制下的所有软件、硬件和数字服务。漏洞披露计划办公室(VDPO)负责接收、处理和解决漏洞报告,并与联邦协调机构(FCB)合作。VDPO的职责包括识别潜在脆弱系统和软件、验证漏洞存在、监督和支持漏洞修复,以及发布漏洞咨询。领导支持、人员配置、利用现有程序、承包商支持和客户支持是成功实施漏洞披露计划的重要考虑因素。
🎯
关键要点
- 美国国家标准与技术研究院发布了《对联邦漏洞披露指南的建议》(NIST SP 800-216)。
- 该框架适用于联邦控制下的所有软件、硬件和数字服务。
- 漏洞披露计划办公室(VDPO)负责接收、处理和解决漏洞报告。
- VDPO的职责包括识别潜在脆弱系统、验证漏洞、监督漏洞修复和发布漏洞咨询。
- 成功实施漏洞披露计划需要领导支持、人员配置和客户支持等因素。
- 每年有数以千计的安全漏洞被发现并公开披露。
- NIST被指示为联邦机构制定与ISO/IEC标准一致的漏洞披露指南。
- 该框架允许地方解决支持,并适用于所有政府开发的、商业的和开源的软件。
- 创建高效的漏洞披露计划可以减少信息的意外暴露和服务的损失。
- FCB是一个由合作成员组成的团体,为政府机构提供漏洞披露协调。
- 外部协调者(EC)是指不在FCB或VDPO内的漏洞披露实体。
- VDPO应支持系统所有者进行漏洞验证、缓解和修复。
- 每个FCB成员应发展接收源漏洞报告的能力,并维护报告数据库。
- FCB成员应根据漏洞的严重性和利用的难易程度对报告进行优先排序。
- VDPO应确保系统所有者对发现的漏洞进行补救,并监督补救工作。
- 对于每个经过验证的漏洞,必须确定是否发布公告。
- 联邦政府维持咨询服务,以减少网络安全和经济安全的风险。
- VDPO的结构要求包括制定源漏洞报告的接受政策和处理程序。
- 领导支持和人员配置是成功实施漏洞披露计划的关键因素。
➡️
