11月15日，白宫发布了其《漏洞平衡策略》(VEP)，描述了白宫与其他10个机构，包括CIA、NSA和DHS，做出漏洞公告决策的过程。该策略解释了为什么有些漏洞要保密，而有些漏洞一被发现就会即刻发出警报。

　　这些决策特别针对零日漏洞，也就是尚未打上补丁的未知安全漏洞。政府机构常会找出这些漏洞，有时候就将之转化为自己的黑客武器了。在基于NSA被盗黑客工具的WannaCry勒索软件肆虐之后，微软首席顾问抨击政府未将漏洞信息通告可以修复漏洞的公司。

　　白宫网络安全协调员罗博·乔伊斯在15号的博客文章中称，提升此过程的透明度是很重要的，但他也维护政府将某些漏洞保密的决策。

　　乔伊斯说：“尽管我不认为将所有漏洞留做网络行动所需是负责任的做法，但我们看到有很多国家都这么做。”

　　决策过程始于找到漏洞并提交到VEP审查委员会，该委员会包含下列机构：

　　国防部(包含NSA)

　　中央情报局(CIA)

　　司法部(包含FBI)

　　国务院国土安全部

　　国家情报总监办公室

　　财务部

　　能源部

　　商务部

　　管理与预算办公室

　　委员会就4个关键点进行讨论，首先就是该新发现漏洞的威胁程度。主要看受影响产品的波及面、漏洞利用的难度、漏洞可导致的破坏，以及漏洞修复难度。

　　第二个考虑，是政府可以怎么利用该漏洞。第三和第四个讨论点，则是考虑一旦政府早已获悉漏洞的事实被揭露，美国将面对来自公司企业和其他国家的什么风险。

　　该审查过程应在5天内进行完毕。如果已有利用该漏洞的攻击发生，则审查过程会加快。讨论过后，委员会将就是否向受影响公司公开漏洞达成共识。

　　如果审查委员会决定公开漏洞，就会在7个工作日内通告受影响公司企业。如果委员会选择保密漏洞，那该漏洞将会每年被审查一次，直到委员会改变主意，或者该零日漏洞被公开。

　　责任编辑：DJ编辑