联邦机构将很快建立平台，让黑客在机构网站上提交漏洞。（布莱恩A杰克逊）

美国国土安全部网络安全局（Department of Homeland Security）公布的联邦机构漏洞披露计划草案的公开征求意见期已延长至2020年1月10日。

约束性操作指令（BOD）草案是网络安全和基础设施安全局强制实体采取行动的少数机构之一，要求联邦机构建立一个VDP，安全研究人员可以在其中报告机构面向公众的网站的漏洞。最初的评论期定在12月27日到期，但CISA在利益相关者的“惊人反应”后延长了最后期限。

到目前为止，CISA已经收到了来自联邦机构、行业和智囊团的利益相关者的评论，涉及从为提交漏洞的研究人员提供法律保护到强制补救时限等方方面面。一些评论表达了对资源机构最终致力于披露计划的担忧。

“在联邦机构和部门中有效实施漏洞披露政策将需要足够的资源、资金和训练有素的劳动力，”信息技术产业理事会（ITI）政策高级副主席约翰·米勒（John Miller）写道，ITI是一个代表信息和通信技术行业公司的行业协会。

利益相关者还建议各机构在VDP建立之前审查其系统。网络安全联盟执行协调员阿里施瓦茨（Ari Schwartz）写道：“为了准备实施，还应鼓励各机构尽早主动扫描其内部资产，缓解高度优先的漏洞，并确保其漏洞管理流程有效。”

美国住房和城市发展部监察长办公室（Office of Inspector General）员工亚当·伯恩斯坦（Adam Bernstein）在一份评论中写道，机构内部的IT系统往往存在多个漏洞，应该被排除在披露计划之外，因为它们资金不足，关键任务和机构没有资金来减轻其脆弱性。

伯恩斯坦写道：“这些遗留系统和资金不足的系统永远不应该成为任何漏洞披露计划的一部分，因为发现更多没有补救能力的漏洞只会进一步削弱国家的IT系统。”

对此，一位人士回信称，披露遗留系统中的漏洞将有助于说明IT系统的资金不足。

安全研究人员在调查系统漏洞时，也担心对他们采取法律行动的潜在威胁。该指令称，各机构承诺不对从事诚信工作的研究人员采取法律行动，但有人在CISA GitHub网页上发表评论，建议各机构总法律顾问办公室参与任何政策决定。

美国航天局网络安全专业人士卡里姆说，这项政策需要“国家OGC已经审查并同意任何关于采取法律行动的主张”的措辞，因为披露计划可能在机构CIO办公室之外执行。

利益相关者还对VDP中建议的补救时间框架表示关注。CISA提出了建议，报告的漏洞在90天内得到缓解和补救，但利益集团写道，CISA需要澄清，这些补救建议只是建议，而不是要求——认为VDP的国际标准没有规定缓解时间。

施瓦茨写道：“错过一个人为的截止日期可能会导致未达到预期和对脆弱性报告者失去信任，并可能促使过早公开披露未经缓解的脆弱性，从而造成额外的利用风险。”

为了让各机构更好地了解VDP要求，一位匿名用户评论说，DHS应举办一个行业日，让IT人员、承包商、律师和其他机构工作人员更好地了解法律要求、签约机会、处理的最佳做法，从而增加补救工作，为希望通过第三方的机构提供必要的劳动力培训和市场调查。由国土安全部主办的为期一天的行业日可能有助于减少机构误解BOD要求的可能性，并帮助他们制定一个最适合自己机构的战略。