引言 美国商务部(DOC)管理着为美国经济增长和机遇创造条件的关键数据。 DOC致力于通过保护公众信息不被无理披露来确保美国公众的安全。因此,DOC制定了漏洞披露政策(VDP)和漏洞披露计划,为安全研究人员提供在DOC系统和网站上进行漏洞发现活动的明确指南,并传达DOC在如何向DOC提交发现的漏洞方面的偏好。 DOC的漏洞披露政策描述了本计划涵盖哪些系统和类型的研究,如何提交漏洞报告,以及公开披露已提交漏洞的要求。 授权 安全研究人员必须遵守与安全研究活动或其他参与本漏洞披露计划相关的所有适用联邦、州和地方法律。 在所有安全研究期间,真诚地遵守此政策的努力将被视为授权。DOC将与研究人员合作,以了解并快速解决问题,并且不会建议或采取与您的研究相关的法律行动。如果第三方针对安全研究员根据本政策进行的研究提起法律诉讼,DOC将重申此授权。 适用性和范围 本政策适用于对报告系统安全漏洞感兴趣的安全研究人员,仅适用于授权的DOC公共可用系统/服务。本政策适用于希望进行漏洞发现活动的任何人,包括对DOC.gov域内DOC的公共可用系统/服务进行的研究和测试。具体而言,本政策适用于以下DOC网站、信息系统和旨在供公众使用或可上网的数字服务: *.dnsops.gov公司 *.nist.gov公司 *.诺亚.gov *.uspto.gov公司 *.普查.gov *.doc.gov文件 *.商业.gov *.firstnet.gov *.导出.gov *贸易.gov *.2020人口普查.gov *.bea.gov文件 *.航空气象.gov *.ntis.gov网站 *.天气.gov *.ap.gov公司 *.bldrdoc.gov文件 *.mbda.gov文件 *.干旱.gov *.比斯戈夫 *.buyusa.gov公司 *.chips.gov公司 *.气候.gov *.万象.gov *.制造.gov *电子政务署 *爱迪生.gov *.鱼类观察.gov *.stopfakes.gov网站 *.goes-r.gov网站 *.gps.gov网站 *heat.gov公司 *飓风.gov *.icams-portal.gov文件 *.iedison.gov网站 *哥伦比亚特区政府 *.internet4all.gov网站 *所有.gov的互联网 *卢卡上诉.gov *.manufacturingusa.com *.海洋数据库.gov *.mfgusa.com网站 *mgi.gov公司 *.my2020人口普查.gov *.nccoe.org网站 *.nehrp.gov网站 *.时间.gov *.海啸.gov *.nwirp.gov网站 *.papanaumokuakea.gov *.pscr.gov公司 *.privacyshield.gov文件 *.sdr.gov公司 *.选择usa.gov *.半导体.gov *.太空气象.gov *光谱.gov *.standards.gov标准 *.swarm.gov公司 *.塔斯菲林.gov *.usicecenter.gov网站 *.wwtg.gov网站 *.xd.gov网站 *.cwc.gov 范围外系统和服务: 国家安全系统(NSS)。国家安全体系的定义以及国家安全共同体中使用的其他适用术语见CNSSI 4009《信息保障词汇表》 供应商或其他实体拥有和运营的信息系统、网站或服务;我们的供应商和其他实体在信息系统中发现的漏洞不属于本政策的范围,应根据供应商的披露政策(如果有)直接向供应商报告; 不面向公众或不可上网的网站、信息系统和数字服务。 以下网站、信息系统和服务不包括在本政策中向记者提供的测试条款和法律保护范围内。如果记者不确定网站、信息系统或数字服务是否在本政策范围内,建议他们联系DOC漏洞披露计划[电子邮件保护]或在开始测试之前,发送给.gov WHOIS中列出的信息系统域名的安全联系人: 虽然DOC开发并维护其他可上网的系统或服务,但我们要求仅对本文件范围内的系统和服务进行积极的研究和测试。随着时间的推移,我们将扩大这项政策的范围。本政策适用于希望进行漏洞发现活动(包括研究和测试)的任何人。 如果对范围有不确定性,请联系[电子邮件保护]。 此外,在非DOC实体的系统中发现的漏洞不在本政策的范围内,应根据非DOC主体的披露政策直接向其报告。如果系统范围存在不确定性,请联系[电子邮件保护]。 虽然DOC首席信息官办公室(OCIO)负责开发和维护各种互联网可访问系统或服务,但研究和测试只应在本政策范围内的系统和服务上进行。本政策的范围可能会发生变化;请联系[电子邮件保护]如果出现有关当前不在范围内的系统的问题。 指导方针 根据该政策,“研究”是指您在其中: 发现任何实际或潜在的安全问题后,尽快通知DOC。 尽一切努力避免侵犯隐私、降低用户体验、中断生产系统以及破坏或操纵数据。 仅在确认漏洞存在所需的程度上使用漏洞攻击。不要使用漏洞攻击来破坏或过滤数据,建立持久的命令行访问权限,或利用此漏洞攻击其他系统。 不要提交大量低质量的报告。 在发现漏洞或敏感数据(包括个人识别信息、财务信息或任何一方的专有信息或商业秘密)时: 必须停止所有测试。 立即通知DOC。 不要向任何人透露此数据。 报告漏洞 根据本政策提交的信息仅用于防御目的。如果发现的发现包括影响产品或服务所有用户(而不仅仅是DOC)的新漏洞,DOC可能会将您的报告与国土安全部(DHS)网络安全和基础设施安全局(CISA)共享,并将根据其协调的漏洞披露流程进行处理。未经明确许可,DOC不会共享您的姓名或联系信息。 DOC只接受通过DOC VDP报告门户。报告可以匿名提交。如果共享了联系信息,DOC将在三(3)个工作日内确认收到信息。 在提交漏洞时,安全研究人员承认,没有付款的预期,并且已经放弃了未来针对美国政府的任何与提交有关的付款索赔。 在共享联系信息时,DOC承诺以透明和及时的方式与安全研究员进行协调: DOC将在三(3)个工作日内确认报告已收到。 DOC将在(15)个工作日内确认漏洞的存在,并就可能延迟解决的发现、解决方案和/或问题或挑战进行进一步讨论。 政策 漏洞报告 为了报告已识别的漏洞,安全研究人员必须: 通过提交漏洞报告DOC VDP报告门户 描述发现漏洞的位置以及利用漏洞的潜在影响。 提供重现漏洞所需步骤的详细描述(概念验证脚本或屏幕截图)。 如果需要,匿名提交漏洞报告。如果安全研究员向DOC提供电子邮件地址,DOC将在三(3)个工作日内通过电子邮件接收提交的报告。 在收到DOC通知后(90)个日历日内,对发现的漏洞的任何信息保密。 协调披露 DOC致力于在(90)天或更短时间内修补漏洞,并在发布补丁时披露这些漏洞的详细信息。我们认为,公开漏洞披露是漏洞披露过程的重要组成部分,使软件更好的最好方法之一是让每个人都能从彼此的错误中学习。 同时,我们认为,在没有现成补丁的情况下披露信息往往会增加风险,而不是降低风险,因此我们要求安全研究人员在补丁发生时,不要与他人共享报告,也不要向公众发布报告。如果需要在补丁可用之前通知其他人提交的报告,请与DOC协调[电子邮件保护]在发布进行评估之前。 漏洞报告的使用 DOC应将根据本政策提交的信息用于防御性网络安全目的(即缓解或补救漏洞)。如果已经报告并确定某个问题既在项目范围内,又被确定为有效的安全问题,DOC将验证发现,安全研究人员可以在发布解决方案后披露漏洞。漏洞获取表中的详细信息可以提交给独立的第三方供应商进行评估和处理 信息共享 根据本政策提交的信息可能会被共享用于防御网络安全,这意味着: 如果提交的调查结果包括新发现的影响DOC以外产品或服务用户的漏洞,DOC可以与DHS CISA共享漏洞报告,并根据DHS CISA的协调漏洞披露流程进行处理。DOC保留根据需要与DHS CISA和其他适用组织共享此信息的权利。 未经研究人员明确书面许可,不得披露或共享与安全研究人员相关的个人信息。 测试方法 DOC要求安全研究人员遵守授权测试方法,以访问公共DOC.gov域内的系统,并且不得执行任何未经授权的测试方法。 未经授权的测试方法 以下测试方法为未授权由DOC: 测试本政策“范围”中规定的系统以外的任何系统。 设施或资源的物理测试(例如,办公室通道、敞开的门、后挡板)。 社会工程(例如钓鱼、可视、垃圾邮件和其他可疑电子邮件)以及任何其他非技术性漏洞测试。 网络拒绝服务(DoS或分布式DoS)或测试削弱对系统或数据的访问或破坏可用性。 耗尽带宽或资源密集型的测试。 无法识别的恶意软件、病毒、特洛伊木马或蠕虫。 彩虹表、密码破解或暴力测试。 利用此漏洞可过滤数据、建立命令行访问、在DOC系统上建立持久存在或“转移”到其他DOC系统。 测试与DOC系统集成、链接或来自DOC系统的第三方应用程序、网站或服务。 删除、更改、共享、保留或销毁DOC数据,或使DOC数据无法访问。 问题 有关此政策的问题或建议可发送至[电子邮件保护]