美國國防部考慮鼓勵供應商報告漏洞

原標題：美國國防部考慮鼓勵供應商報告漏洞

　　[聯邦計算機週刊網站2019年4月25日報道] 防部希望其技術在交付過程中不妥協。然而供應鏈安全卻存在一些障礙，包括缺乏來自供應商的關於潛在漏洞的資料。

2019年4月24日，在供應鏈安全戰略與國際研究中心活動上，美國國防安全域性（DSS）反間諜局長William

Stephens表示，“不妥協”意味著在向作戰部隊提供技術能力時，沒有“關鍵資訊和技術有意或無意地丟失、被盜、被拒絕、降級或不當贈送或出售”的情況。他補充說，或是即使出現了這些情況，至少能夠解釋其原因。

DSS負責監督與美國國防部合作進行機密專案的行業合作伙伴。Stephens希望儘早從這些供應商那裡獲取潛在的不利資訊，即使這意味著要向公司支付獎勵以確保資訊的準確性。

該機構的工作內容有很多。DSS每年收到約5萬份報告，需認真調查約8000份反間諜情報。Stephens說，在過去兩年，報告絕大多數都是關於網路和人類活動的混合報告：16%是純網路報告，30%是純人類報告，54%是兩者兼而有之。他說，這意味著只關注網路或情報聯絡“是一件危險的事情”。

他說，在報告活動方面，“工業界做得很好”——15%的供應商報告了反間諜機構感興趣的資訊，並且四分之一的供應商做了相關的報告。但這仍然不夠：DSS需要大約三倍的供應商報告資料，使資料具有統計意義，因此需要激勵承包商報告。

他說：“我們面臨的挑戰是，如果我們真的想真正實現挑戰的深度和廣度，我們就必須採取激勵措施。如果激勵措施是正確的，它們就會奏效。”（工業和資訊化部電子第一研究所