精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

美國司法部是如何打造漏洞披露計劃框架的?

責任編輯:editor007

作者:AngelaY

2017-08-04 21:41:45

摘自: FreeBuf.COM

美國司法部(DOJ)刑事部門網絡安全分部日前打造了“在線系統漏洞披露計劃框架”,旨在幫助組織機構開發正式的漏洞披露計劃。步實施項目:該框架提出應當讓企業漏洞的披露策略易于獲取,并鼓勵找漏洞的用戶通過其項目披露系統中的任何漏洞。

美國司法部(DOJ)刑事部門網絡安全分部日前打造了“在線系統漏洞披露計劃框架”,旨在幫助組織機構開發正式的漏洞披露計劃。

實際上,現在越來越多的企業機構都已經意識到,漏洞獎勵計劃有助于更高效地發現網絡和應用中的漏洞。很多大型私有企業這些年一直在實施漏洞獎勵計劃。FreeBuf 先前曾經采訪過 HackerOne 的 COO 王寧,她在采訪中提到漏洞獎勵計劃對于安全而言的高性價比,因為這是一種按勞支付的方式。

國內如騰訊、百度、新浪、網易等大型廠商都成立了安全應急響應中心,還有一些如漏洞盒子專門的眾測平臺,為廠商和白帽子搭建橋梁,為國家安全做出貢獻。國家應急響應中心和國家信息安全漏洞庫,也都是國家在信息安全和漏洞披露方面所提供的支持。

同樣,美國政府也針對漏洞披露采取了一些重要措施。

美國政府的漏洞披露舉措

美國國防部通過安全漏洞披露平臺“HackerOne”運營三大漏洞獎勵項目:“入侵五角大樓(Hack the Pentagon)”,“入侵陸軍(Hack the Army)”和“入侵空軍(Hack the Air Force)”。此外,美國總務署(GSA)在五月宣布成立漏洞獎勵計劃,隨后參議員提出了新的議案,計劃在國土安全部內部建立漏洞獎勵試點計劃。

而此次美國司法部計劃打造的框架對于公共和私有組織機構都能提供有效幫助,這次的框架沒有局限于項目形式或目標,而是重在描述有授權的漏洞發現和披露行為,減少挖洞過程中違反CFAA(《計算機欺詐與濫用法案》)的情況發生。

  按框架行動,打造漏洞提交四部曲

第一步是設計項目:確認項目中使用的網絡組件和數據、確定需要使用或排除的漏洞類型和安全實踐;另外還要指明第三方組件或數據是否應當包含在項目中,以及是否需要獲得額外授權;司法部還建議組織機構在設計階段參考 18F (數字服務機構)的漏洞披露計劃、國家電信與信息管理局(NTIA)的漏洞披露做法,以及國際標準組織(ISO)的相關指南。

第二步則涉及項目管理:確定漏洞上報方式、分配好接收漏洞報告的入口、指明解答項目相關問題的人員,以及確定如何處理意外事件和故意違反漏洞政策的行為;

第三步則起草策略:明確描述企業組織針對某些問題的態度:包括授權或未授權的行為、數據訪問限制、不遵守策略的后果、項目覆蓋的系統和數據等。同時還鼓勵研究人員聯系組織機構反饋項目未解決的問題,并指明在披露流程中還需要與美國計算機應急響應小組US-CERT、美國工控系統網絡應急響應小組ISC-CERT等機構協作;

第四步實施項目:該框架提出應當讓企業漏洞的披露策略易于獲取,并鼓勵找漏洞的用戶通過其項目披露系統中的任何漏洞。

FreeBuf 隨后會有關于這個框架的詳細解讀,敬請期待。

*參考來源:Securityweek,AngelaY 編譯,轉載請注明來自 FreeBuf.COM

鏈接已復制,快去分享吧

企業網版權所有?2010-2024 京ICP備09108050號-6京公網安備 11010502049343號

  • <menuitem id="jw4sk"></menuitem>

    1. <form id="jw4sk"><tbody id="jw4sk"><dfn id="jw4sk"></dfn></tbody></form>
      主站蜘蛛池模板: 汝南县| 满洲里市| 岳池县| 凤山市| 丹寨县| 清水河县| 大田县| 贺州市| 新营市| 甘孜县| 县级市| 桃源县| 博兴县| 天气| 桂东县| 屏东市| 莱阳市| 黄陵县| 扶沟县| 申扎县| 哈尔滨市| 宜良县| 建湖县| 元朗区| 沙坪坝区| 安新县| 怀来县| 特克斯县| 滦平县| 达孜县| 大关县| 天门市| 平原县| 黄骅市| 遵义县| 定州市| 于都县| 饶平县| 正安县| 辰溪县| 永平县|