该立法提案要求联邦和国防供应商全部强制实施漏洞披露政策，执行和联邦机构一致的漏洞披露要求，以实现漏洞消减目标。

前情回顾·美国网络安全立法动态

安全内参8月13日消息，美国两党9日宣布联合推出一项立法提案，旨在加强联邦承包商的漏洞披露规则。提案发起人为民主党参议员Mark R. Warner和共和党参议员James Lankford。

该法案全称为2024年《联邦承包商网络安全漏洞消减法案》。法案要求美国联邦承包商遵守国家标准与技术研究院（NIST）制定的漏洞披露指南，从而减轻网络攻击的影响。

具体而言，该法案将要求管理与预算办公室（OMB）监督《联邦采购法规》的更新工作。更新后的法规将要求，联邦承包商实施与联邦机构要求一致的漏洞披露政策。

此外，新法案将要求国防部长监督《国防联邦采购条例补充》合同要求的更新工作。更新后的条例将要求国防承包商实施类似的政策。

对于已经实施漏洞披露政策（VDP）的组织，研究人员如在这些组织的软件产品中发现漏洞，将有途径进行报告，以便在漏洞被利用进行攻击之前进行处理。

参议员们认为，接收漏洞报告能够让开发人员和服务提供商意识到问题。目前，美国要求联邦民事行政部门实施漏洞披露政策，联邦承包商却不受约束。

新法案将要求联邦承包商实施漏洞披露政策，并落实正式的漏洞报告接收、评估和管理流程，从而减少已知的安全漏洞。

随着联邦承包商实施漏洞披露政策，安全研究人员将能够直接向他们报告漏洞，而无需向联邦机构进行额外报告。

Mark R. Warner 表示：“漏洞披露政策是主动识别和解决软件漏洞的关键工具。新法案将确保联邦承包商及联邦机构遵守国家指南，更好地保护我们的关键基础设施和敏感数据免受潜在攻击。”

参考资料：securityweek.com