美国防部通过漏洞赏金计划在军事系统中发现超5万个漏洞

美国防部网络犯罪中心（DC3）3月15日宣布，已处理2016年11月启动的持续漏洞披露计划（VDP）中收到的50000份报告。

美国防部网络犯罪中心（DC3）漏洞披露计划（VDP）是联邦政府历史上的首次，是在HackerOne上成功运行“黑掉五角大楼”漏洞赏金计划后启动的。此后，美国防部与HackerOne、Bugcrowd和Synack合作运行了40多个漏洞赏金计划，并启动了持续的“黑掉五角大楼”漏洞赏金计划，允许白帽黑客全年提交漏洞报告。

通过扩大项目数量，美国防部允许安全研究人员针对更广泛的系统进行漏洞搜寻，范围从高价值硬件和物理资产到面向网络的网站和应用程序、暖通空调、公共设施、物理安全系统、工业控制系统等。

与短期漏洞赏金不同，作为深度防御方法的一部分，漏洞披露计划（VDP）的众包道德黑客会持续报告漏洞。通过作为接收漏洞报告的联络点，该计划持续为国防部的整体安全做出重大贡献。

2018年夏天，漏洞披露计划（VDP）推出了名为“漏洞报告管理网络”（VRMN）的系统，该系统开始提供自动化、跟踪和处理所有报告的服务，从而创建了一个更加高效的流程。该计划的进步使VDP能够扩大其缓解范围，不仅处理美国防部网站和应用程序上的调查结果，还包括美国网络司令部下属的联合部队总部-国防部信息网络（JFHQ-DODIN）拥有和运营的所有可公开访问和/或可用的信息技术资产。

根据美国防部2020年9月15日发布的《美国防部第8531.01指示：国防部漏洞管理》。

美国空军部长通过美国防部网络犯罪中心（DC3）主任：

1. 管理美国防部的VDP公众参与工作；

2. 作为接收漏洞报告并与支持VDP的研究人员互动的单一联络人；

3. 与联络部队总部-国防部信息网络（JFHQ-DODIN）协调，确保向系统所有者交付报告并尽快帮助修复团队；

4. 根据美国负责政策的副国防部长、国防部长公共事务助理以及负责情报和安全的国防部副部长批准的政策和程序（视情况而定），在发布研究人员公开披露漏洞的请求前，协调并获得美国网络司令部/联络部队总部-国防部信息网络（JFHQ-DODIN）的批准；

5. 与联络部队总部-国防部信息网络（JFHQ-DODIN）协调，确保VDP中发现的漏洞被考虑通过美国网络司令部提交给漏洞公平裁决程序（VEP）；

6. 操作、维护漏洞报告管理网络（VRMN）平台并提供用户培训，以供DC3、JFHQ-DODIN及美国防部组成机构使用；

7. 担任美国国家安全委员会工作人员VEP的四名国防部代表之一，参加机构间会议，例如公平审查委员（ERB）。

8. 指定一名VEP联系人作为从DC3向VEP提交漏洞的联络人，以便与VEP执行秘书处进行协调。

9. 向国防工业基础传播通过VEP批准的补救和缓解方案。

从2021年开始，美国防部网络犯罪中心（DC3）与国防反情报和安全局合作创建了为期12个月的国防工业基础-漏洞批露计划（DIB-VDP）试点项目。该试点项目发现并修复了400多个活跃漏洞以及对手对国防工业基础（DIB）参与者面向公众的资产造成的受控非机密信息泄露威胁，预计为纳税人节省了6100万美元。DIB-VDP团队利用低成本、众包的道德黑客，处理了1019份漏洞报告，以确保中小型参与者DIB公司免受已识别的威胁。

凭借在2022年DIB-VDP试点期间的努力，美国防部网络犯罪中心（DC3）获得了享有盛誉的美国防部首席信息官年度奖。美国防部网络犯罪中心（DC3）VDP主管梅丽莎·维斯表示，“基于美国防部VDP为所有政府组织制定的成功的七年基准，这个概念验证试点提供了世界一流的速度和敏捷性，确保自愿的DIB公司参与者受到保护。VDP得到了业界、联邦政府、学术界和‘五眼’合作伙伴的认可。”

截至2022年底，参与美国防部VDP的约4000名研究人员收到了近45000份漏洞报告。根据美国防部网络犯罪中心《2022年度漏洞披露项目报告》，其中超过25000份报告可采取行动，其中6000份已成功缓解。

2023年，美国防部推出了“黑掉五角大楼”网站，帮助国防部内的组织启动漏洞赏金计划并招募安全研究人员。新的网站由美国防部首席数字和人工智能办公室（CDAO）下属的数字服务机构（DDS）推出，旨在作为国防部长期运行的同名漏洞赏金计划的配套。

根据美国防部在HackerOne上的VDP页面，自该计划启动以来，已解决了27000多个漏洞报告，向黑客致谢2630次。

HackerOne创始人兼首席技术官亚历克斯·赖斯表示，“DC3 VDP的成功有力地证明了与全球道德黑客社区的牢固关系如何转化为网络防御的持续加强。作为自豪的合作伙伴，我们期待与道德黑客继续合作，进一步加强国家安全。”