標籤:

美國國防部漏洞檢測標準

01-28

政策

國防部漏洞披露政策

目的

本政策旨在為安全研究人員提供明確的指導方針,以指導國防部(DoD)網路資產的漏洞發現活動,並將發現的漏洞提交給國防部。

概觀

保持我們網路的安全性是國防部的重中之重。我們的信息技術為軍事服務人員,其家屬以及國防部員工和承包商提供關鍵服務。最終,我們的網路安全確保我們能夠完成我們的使命並捍衛美利堅合眾國。

安全研究人員經常為組織和更廣泛的互聯網的安全做出寶貴的貢獻,國防部認識到與社區建立密切的關係將有助於提高自身的安全性。因此,如果您有關於DoD網站或Web應用程序中的漏洞的信息,我們希望收到您的消息!

根據此政策提交給國防部的信息將用於防禦目的 - 減輕或補救我們網路或應用程序中的漏洞或我們供應商的應用程序。

美國國防部最初的努力是在研究人員和國防部之間建立一個積極的反饋循環 - 請在我們改進和更新過程中保持耐心。

在進行任何DoD網路測試之前,在提交報告之前,請仔細閱讀,理解並同意以下條款和條件。謝謝。

範圍

國防部擁有,運營或控制的任何面向公眾的網站,包括在這些網站上託管的網路應用程序

如何提交報告

請提供該漏洞的詳細摘要,包括:問題類型; 包含錯誤的軟體的產品,版本和配置; 分步說明重現問題; 驗證的概念; 問題的影響; 並酌情提出緩解或補救措施。

通過點擊「提交報告」,您表示您已閱讀,理解並同意本政策中所述的指導方針,以進行安全研究和披露與國防部信息系統有關的漏洞或漏洞指標,並同意存儲在美國政府信息系統中的通信和後續通信的內容。

方針

國防部將善意處理研究人員,他們根據這些準則發現,測試和提交漏洞或漏洞指標:

  • 您的活動僅限於 -
    • (1)測試以檢測漏洞或識別與漏洞相關的指標;3或
    • (2)與國防部共享或從國防部接收有關漏洞的信息或與漏洞相關的指標。
  • 您不會受到任何傷害,也不會利用任何需要進行最少量測試的漏洞來證明存在漏洞或識別與漏洞相關的指標。
  • 您避免故意訪問通過或存儲在國防部信息系統上的任何通信,數據或信息的內容 - 除非信息與漏洞直接相關,並且訪問必須證明存在此漏洞。
  • 在任何情況下,您都不會泄漏任何數據。
  • 您不會故意傷害國防部人員(如平民僱員或軍人)或任何第三方的隱私或安全。
  • 您不會故意損害國防部人員或實體或任何第三方的知識產權或其他商業或經濟利益。
  • 除非獲得國防部的明確書面授權,否則您不公開披露漏洞的任何細節,漏洞的指標或由漏洞提供的信息的內容。
  • 你不進行拒絕服務測試。
  • 您不會進行國防部人員或承包商的社交工程,包括魚叉式網路釣魚。
  • 您不會提交大量低質量的報告。
  • 如果您不確定是否繼續測試,請與我們的團隊聯繫。

你可以從我們這裡得到什麼

我們認真對待每一個披露,非常感謝安全研究人員的努力。我們將調查每一個披露信息,並努力確保採取適當措施來降低風險並修復報告的漏洞。

國防部擁有獨特的信息和通信技術足跡,緊密交織,全球部署。許多國防部的技術部署在戰區,並在不同程度上支持正在進行的軍事行動; 國防部系統和應用程序的正常運行可能對服務人員和美國的國際盟友和合作夥伴造成生死攸關的影響。國防部在調查漏洞的影響並提供解決方案時必須格外小心,因此在此期間請耐心等待。

國防部仍然致力於盡可能公開和迅速地與研究人員進行協調。這包括:

  • 在三個工作日內,我們將確認收到您的報告。美國國防部的安全小組將調查報告,並可能與您聯繫獲取更多信息。
  • 盡我們的能力,我們將確認研究人員存在的脆弱性,並酌情通知研究人員,因為正在修復漏洞。
  • 我們希望研究人員公開承認他們的貢獻,如果這是研究人員的願望。我們將儘可能讓研究人員得到公眾的認可。但是,只有在國防部的明確書面同意下才能公開披露漏洞。

根據此政策提交給國防部的信息將用於防禦目的 - 減輕或補救我們網路或應用程序中的漏洞或我們供應商的應用程序。

法律

您必須遵守與您的安全研究活動或其他參與此漏洞披露計劃有關的所有適用的聯邦,州和地方法律。

國防部不授權,允許或以其他方式允許任何人(包括任何個人,個人,集團,合夥或任何其他企業或法律實體)參與任何安全研究或脆弱性或威脅披露活動不符合這個政策或法律。如果您從事任何與本政策或法律不一致的活動,您可能會承擔刑事和/或民事責任。

如果任何安全研究或漏洞披露活動涉及非國防部門實體(例如其他聯邦部門或機構;州,地方或部落政府;私營部門)的網路,系統,信息,應用程序,產品或服務公司或個人;任何此類實體的僱員或人員;或任何其他此類第三方),非國防部第三方可獨立決定是否採取法律行動或與此類活動有關的補救措施。

如果您按照本政策規定的限制和指導方針進行安全研究和漏洞披露活動,(1)國防部不會主動或推薦與此類活動有關的任何執法或民事訴訟;(2)除國防部以外的任何人執行的任何執法或民事訴訟,國防部將採取措施表明您的活動是根據和遵守這項政策進行的。

國防部可隨時修改本政策的條款或終止本政策。

原文地址:86Night


推薦閱讀:

談談攜程支付日誌泄漏與用戶隱私
科普 | 你必須了解的漏洞利用緩解及對抗技術
邏輯漏洞簡單的分析

TAG:漏洞 | 信息技术IT | 网络安全 |