美國防部發表數位漏洞揭露政策，擴大抓漏獎勵計畫

william77

美國國防部為強化資訊安全，發表漏洞揭政策，提供安全研究人員一個揭露國防部旗下網站安全漏洞的準則，另外，也推出新的抓漏計畫「入侵軍隊」，邀安全研究人員協助找出漏洞。

為了強化網路安全，美國國防部（Department of Defense，DoD）本周一（11/1）展開兩項行動，一是發表國防部漏洞揭露政策（DoD Vulnerability Disclosure Policy），其次是延續「入侵國防部」（Hack the Pentagon）抓漏計畫，推出新的「入侵軍隊」（Hack the Army）抓漏計畫。
該政策針對美國國防部旗下的所有網站提供安全研究人員一個回報漏洞資訊的準則，美國國防部部長Ash Carter表示，他們希望能夠鼓勵電腦安全研究人員協助DoD改善防禦能力，並透過正式管道來促進DoD的網路安全及美國國家安全。
此外，有鑑於DoD今年4月開跑的「入侵國防部」抓漏計畫成效良好，該部門再接再勵推出「入侵軍隊」計畫。這兩個計畫都是採用邀請制，其中，「入侵國防部」抓漏計畫總計邀請了逾1400名駭客參與，至少有250名駭客提報1個以上的漏洞，其中有138個漏洞獲得獎勵，共發出15萬美元的獎金。
「入侵軍隊」抓漏獎勵則是著重於與營運有關的網站，特別是負責軍隊招募任務的網站，以確保暢通的從軍管道。DoD目前已邀請500名駭客參與。  

xfzc