美国国防部漏洞披露计划累计收到5万个漏洞报告

GoUpSec 2024-03-26

据美国国防部网络犯罪中心(DC3)于2024年3月15日发布的报告，自2016年11月推出众包道德黑客计划以来，已经收到了超过5万个漏洞报告。

与其他漏洞赏金计划不同，DC3的漏洞披露计划(VDP)是一项持续进行的计划，欢迎道德黑客和安全研究人员发现美国军方IT系统中的漏洞并向国防部报告。

该计划于2016年11月推出，此前HackerOne曾托管过“黑掉五角大楼”的漏洞悬赏计划。

2018年，DC3在VDP中引入了一个名为漏洞报告管理网络的新报告系统。该系统允许DC3自动化、跟踪和处理所有报告，从而大大提高了效率。

DC3在一份公开声明中解释说：“该计划的进展使VDP能够扩展其缓解范围，不仅可以处理国防部网站和应用程序上发现的漏洞，还覆盖了由联合部队总部国防部信息网络拥有和运营的所有可公开访问或可用的信息技术资产。”

2021年，DC3和国防部反情报和安全局合作，制定了一个为期12个月的试点计划，专门用于寻找参与国防工业基地(DIBCOs)的中小企业系统中的漏洞。

DC3通过该计划收到并处理了1019份漏洞报告。DC3指出：“该计划通过发现和修复对手针对DIB参与者的公开资产的400多个活动漏洞和非机密信息泄露威胁，估计为纳税人节省了6100万美元。”

该试点计划使DC3赢得了美国国防部的首席信息官年度奖项。

与此同时，美国国防部还继续与HackerOne、Bugcrowd和Synack合作运行独立的漏洞悬赏计划，其中包括“黑掉五角大楼”竞赛，涵盖空军、海军陆战队、陆军和国防旅行系统等其他部门的资产。

参考链接：

https://content.govdelivery.com/bulletins/gd/USDODDC3-390288e

END