美國囤積零日漏洞的目的何在？

政府應不該該囤積零日漏洞?對這個問題的回答見仁見智。有人以爲將軟件漏洞祕而不宣會影響全部用戶，不管如何都應當披露漏洞。另外一方面，零日漏洞在一些人眼中與國家安全掛鉤，認爲只要能給本國帶來戰爭或情報收集上的優點，就應該保密。

還有一羣人持第三種觀點，他們清楚政府囤積零日漏洞的優點與後果，認爲對待零日漏洞不能非黑即白，應根據當前情況與情勢變化充分衡量這麼作的利弊，酌情選擇是披露仍是保密零日漏洞。

美國政府確實設置有衡量漏洞該不應披露的一個過程，名爲「漏洞權衡過程(VEP)」。美國聯邦政府採用該過程肯定每一個零日計算機安全漏洞的「待遇」：是向公衆披露以改善計算機安全環境，仍是加以保密留做對付政府假想敵的殺手鐗?VEP在2000年代末期被制定出來，原由是公衆對零日漏洞囤積行爲的憤怒日益高漲。該過程最初呈保密狀態，直到2016年電子前沿基金會(EFF)根據《信息自由法案》(FOIA)申請到了一份經脫密處理的文檔。2017年年中，黑客團伙「影子經紀人」的曝光以後，白宮向公衆披露了VEP的更新版本，試圖提高該過程的透明度。那麼，VEP究竟是怎麼進行的呢?

今天的VEP過程

該過程經白宮受權，由美國國家安全局(NSA)的表明和總統的網絡安全協調官共同領導，NSA表明做爲該過程的執行祕書遵從國防部的指導，總統的網絡安全協調官則是該過程的總監。其餘參與者還包括來自10個政府機構的表明，他們組成了權衡審覈委員會。

該過程要求漏洞發現機構、執行祕書及權衡審覈委員會成員之間展開對話。各方就內部披露的漏洞細節提出各自權益，好比「該漏洞可能對自身產生的影響」等等。而後漏洞報告者和權益要求者之間將開啓新一輪討論，肯定是建議披露仍是建議隱瞞該漏洞。權衡審覈委員會最終達成共識，決定接受該建議仍是另尋他策。若是達成披露決議，披露動做會在7天內開始。算算時間線的話，從發現漏洞到披露漏洞，整個過程耗時在一星期到一個月不等，已是至關快速的政府流程了。

VEP還要求作年報，年報至少要有漏洞公開的執行摘要，幷包含有該過程全年的統計數據。第一個報告週期截止日期爲2018年9月30日，也就是說，新的年報也不遠了。

不足與例外

該過程顯然不完美。除了時間安排，選擇不披露操做的情形也不少，還有各機構間的踢皮球，全部這些都讓政府更傾向於維持舊狀，而不是努力達成VEP想要交付的公開透明。圍繞該過程的一些現實問題以下：

1. 保密及其餘協議

VEP在披露時會受到法律限制，好比保密協議、諒解備忘錄和涉外國合做夥伴或私營產業合做夥伴的其餘協議。這就留下了以這些協議爲藉口阻止披露的機會。

2. 缺少風險評估

業界基於多種因素爲漏洞打出評分。VEP卻沒有強制要求此類評估。這種分類或評分過程的缺少可能致使年終數據失真。好比說，VEP可能公開宣稱今年披露了100個漏洞，但因爲缺少漏洞上下文，這些漏洞有可能全都是對私營產業毫無影響的低風險威脅。

3. NSA主導

考慮到NSA其實是最大的權益持有者，也是最有經驗的漏洞處理者，其表明被選爲委員會執行祕書絕不意外。該職位讓NSA在VEP過程當中享有了最大的權力。

4. 不披露選項

雖然公開披露是默認選項，但其餘選項還包括：披露緩解信息而非漏洞自己;美國政府限制使用;祕密披露給美國盟友;以及間接披露給供應商。這些選項大多將漏洞瞞下，無視披露可能帶來的好處。

5. 缺少透明性

除此以外，該過程彷佛沒有歸入來自私營產業的監督。圍繞零日漏洞的爭論中一直存在信任問題。認爲更好的安全須要任何漏洞都應披露的人，幾乎不會接受內部人士所謂「由於值得保密而不能披露」的回覆。組成權衡審覈委員會的10個機構中既有商務部也有國土安所有，有人可能以爲這兩個部門應該會將私營產業權益考慮進去。但安全倡導者不這麼想，畢竟這些席位也都是政府指定的。

由產業界表明和具安全權限的網絡安全專家組成私營產業審覈委員會是個不錯的辦法。這些委員會成員能夠在一個月或一個季度的期限內審覈VEP過程的結果。若是政府的委員會和業界專家組成的委員會都斷定「值得保密」，安全倡導者接受起來也就沒那麼難了。