近日，两名美军上尉发表论文称，美军应成立中央计划以公布和管理危害美军系统的软件漏洞。

　　洛克·史蒂文斯上尉和迈克尔·威根德说道：“谷歌、脸书、微软、贝宝等公司运营的漏洞奖励计划能够很好地鼓励研究人员负责任地揭露漏洞，而美军应该建立类似的计划以阻止安全漏洞继续处于未报告的和未解决状态。”

　　据史蒂文斯和威根德所说，美军已有数个漏洞管理计划，但这些计划不允许人员进行合适的测试和使用适当的工具。而对于漏洞报告，有一个标准的操作流程，但并没有集中跟踪或管控。

　　“当前国防部漏洞研究人员的操作环境充满了危险和恐惧的氛围。工作人员处于对事后报复的恐惧而不愿意揭露系统内的已知漏洞。”这两名美军网络专家指出。

　　在“网络防御述评”网站(Cyber Defense Review)上发表的这篇论文中，史蒂文斯和威根德提出应创建类似私营公司运营的漏洞奖励计划的军方漏洞响应计划(AVRP)。

　　“AVRP的作用类似针对美国军方网络漏洞的中央报告机制，它将接收会导致美军系统被攻破的不良配置或安全空白的报告。这些系统包括：军队数字化训练管理系统、军队作战指挥系统、军队后勤采购系统和部署在敌对环境里的作战平台。研究人员可以通过热线电话或在线提交门户网站报告漏洞。AVRP将追踪所有提交，为受影响的实体提供信息流支持，在解决整个美国政府网络的漏洞问题中发挥不可或缺的作用。”论文如此写道。

　　怀疑是受俄罗斯和中国指使的网络间谍团伙常常攻击存放敏感信息的美国政府系统，包括白宫、人事管理局、五角大楼、国务院，甚至军队的系统。这两位美军网络安全专家认为，如果政府切实执行了从私营产业中学到的经验教训，就有可能避免此类安全事件的发生。

　　尽管AVRP可能会是主要为国防部人士设计的闭门计划，该漏洞报告平台也能被“热心公民”使用——虽然他们可能不会参与进修复过程。

　　史蒂文斯和威根德认为，除了知道自己正在用自身技术为国奉献，军队人员应该不需要任何激励就参与进这项计划。不过，他们也提出了一系列的非金钱性奖励，比如：推荐就读研究生课程、到谷歌、微软之类的公司进行培训，以及参加各大安全会议。

　　作为军队运营的漏洞奖励计划的补充，两名专家还建议利用诸如“零日计划”和Bugcrowd这样的公司提供的服务。但他们同时也指出，相关花费很可能会相当巨大，因为这些公司不得不为了处理保密的漏洞揭露而改变他们目前的漏洞公布实践。

　　国外漏洞众测平台Bugcrowd称自己已经准备为美国军队处理这种漏洞奖励计划了。

　　“军队不得不考虑引进第三方和自身运营相比会不会开销巨大的问题。考虑到打造一个成功的漏洞奖励计划有很多不同的变量，自身运营可不是一项既定资赋。”Bugcrowd共同创始人兼首席执行官凯西·伊利斯说道，“Bugcrowd是像美国军方这样的大规模计划的理想选择，尤其是在军方刚开始试行自己的漏洞奖励先导计划的时候会很有帮助。”

　　“Bugcrowd拥有专有平台和精于私有企业级漏洞奖励的精英研究团队，我们对处理这样的计划准备充分。Bugcrowd专精于让运营漏洞奖励计划的团队获得成功，最终将会比军队自己试图做成这项计划花费更少。”

　　责任编辑：DJ编辑