前情回顾·美国网络安全立法动态
安全内参3月7日消息,美国众议院近日通过了一项法案,要求联邦承包商强制实施漏洞披露政策(VDP),并遵循与联邦机构一致的漏洞披露要求,以加快漏洞消减目标的实现。
《2025年联邦承包商网络安全漏洞消减法案》明确要求,美国管理与预算办公室(OMB)须与网络安全和基础设施安全局(CISA)、国家网络总监办公室(ONCD)、国家标准与技术研究院(NIST)及其他相关机构协作,监督《联邦采购法规》的更新工作,确保联邦承包商实施符合NIST漏洞披露指南的漏洞披露政策。
该法案还要求国防部长监督《国防联邦采购条例补充》的更新,以确保国防承包商同样执行类似的漏洞披露政策。
主要供应商积极推动立法
该法案旨在让安全研究人员和企业,能够更加便捷且负责任地向承包商报告发现的漏洞,并确保漏洞在被攻击者利用之前得到妥善修复。
就在众议院通过该法案的前几天,多家主要网络安全和科技公司联合致信国会,敦促众议院和参议院尽快批准该立法。
HackerOne、Bugcrowd、微软、Infoblox、Rapid7、趋势科技、Tenable以及施耐德电气在信中表示:“联邦承包商处理着大量敏感数据,因此成为网络攻击的主要目标。该法案将确保所有与联邦政府合作的供应商遵循安全最佳实践,从而提升整体安全态势。”
信中进一步指出:“该法案是在现有政策的基础上,进一步推动漏洞披露政策的普及,鼓励安全研究人员和企业主动发现并报告漏洞,以降低关键系统遭受攻击的风险。”
该法案最早由共和党众议员Nancy Mace于2023年提出,并经过两年的推动逐步获得通过。2024年,民主党参议员Mark R. Warner和共和党参议员James Lankford在参议院提出了对应版本,以加快立法进程。
2024年5月,该法案获得众议院监督与问责委员会批准,随后被纳入《国防授权法案》。
目前,该法案已送交参议院,并移交至国土安全与政府事务委员会审议。
参考资料:https://www.securityweek.com/federal-contractor-cybersecurity-bill-passes-house/、https://oversight.house.gov/release/house-passes-four-good-government-oversight-committee-bills/
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
