民主与技术中心自由、安全和技术项目副主任Michelle Richardson（米歇尔·理查森）和美国律师Mike Godwin（迈克·戈德温）在美国法律和政策分析论坛Just Security共同撰文分析白宫应当披露的“漏洞公平裁决程序”（VEP）信息。

　　专家剖析白宫有必要公开漏洞公平裁决程序VEP哪些信息？

　　白宫网络安全协调员Rob Joyce（罗伯·乔伊斯）10月初在一系列活动上宣布，他正准备发布更多有关漏洞公平裁决程序（Vulnerabilities Equities Process，VEP）的信息。

　　VEP是一个复杂而重要的程序，它决定了美国政府是否通知数字技术公司，告知其产品或服务中存在网络安全漏洞，或选择不披露漏洞，以便用来在今后实施黑客入侵或达到情报收集的目的。Richardson和Godwin认为，需要立法解决方案来管理这个高风险程序，而不仅仅是依赖不太正式的机构间审查。这将对网络安全、隐私、信息获取以及美国的经济竞争力产生影响。他们还认为，应向公众披露此程序相关的更多信息。

　　Joyce过去也曾表示，他对当前这个程序的运作模式还满意。本月他发表声明表示，十月白宫计划自愿发布信息是可喜的进步，但公众至少会期待有一个“章程”，以及截至目前如何运用VEP来披露（或延迟披露）漏洞的基本统计数据。

　　关于VEP公众可能还想知道哪些？

　　Richardson、Godwin这两人认为，由于公布信息的目的是为了证明程序的合法性和成功性，白宫应当公布的信息类型如下：

　　VEP的参与者：

　　为响应《信息自由法》（Freedom of Information Act）发布的机构间备忘录写入VEP的常设参与者。美国国家安全局（NSA）和美国特工处（USSS，美国联邦特勤局）将可能成为VEP的常任成员，国防部（DOD）、国务院、司法部和国土安全部（DHS）会在拥有特定的“权益”（即，决策制定给部门带来利益）时参加VEP。但是，隐瞒决策制定者的身份毫无道理可言。

　　专家剖析白宫有必要公开漏洞公平裁决程序VEP哪些信息？

　　关于向VEP提交的漏洞：

　　美国参议院《情报授权法》（Intelligence Authorization Act）要求VEP参与者共享依据哪些政策规定确定何时将漏洞提交到VEP。这只能提高人们对VEP的理解认识，并理解这个程序必须包括何时以及如何将这些软件漏洞提交供审查。由于不同的机构对其责任有不同的诠释，如果存在实质差异，而不仅仅是程序差异，那么就可能会出现问题。更高的透明度也许可以阐明是否将技术类特定漏洞提交到VEP，或是否只需要将操作性的、端对端的漏洞利用提交至该程序。

　　参与者考虑的公平因素：

　　有许多利害攸关的公平因素需要考虑，包括非政府公平因素，以及在不同的情况下如何将这些公平因素应用到特定的漏洞。但是，基于要考虑的因素，证实该过程确实支持漏洞披露相当重要。

　　基本统计数据：

　　NSA表示，90%以上的事件向受影响的技术公司披露了已知漏洞，但其它机构的情况如何？如果存在差距？为何会出现这种差距？关于绝对值，要讨论哪些要素？

　　数据背景：

　　公开发布的数据可能会在很大程度上掩盖漏洞影响力。例如，法院命令曾被用来每天任意收集数百万条电话记录。信息公开应提供某类特征描述。热门产品或关键基础设施中存在的漏洞可能会影响更多设备和用户。

　　考虑VEP遭遇更多安全威胁的情况

　　Richardson和Godwin认为，上述披露要素应由法律进行规定，但美国政府还应当利用这种机会采取并共享补救措施，借助过去的VEP决定来解决明显的问题。他们建议政府就VEP过程中出现的问题提供更多解答。

　　例如，微软表示，NSA未在“影子经纪人”（Shadow Brokers）披露NSA漏洞利用工具时收到通知。奥巴马执政时期时任网络安全顾问的Michael Daniel（迈克尔·丹尼尔）2014年4月发表博文指出，VEP休眠几年后于2014年重获生机。Richardson和Godwin提出几个疑问：“影子经纪人”披露的NSA黑客工具是否在VEP重启之前经过编译？这些黑客工具是否在VEP重启后经过编译？是否经历了VEP程序？

　　Richardson和Godwin认为，即将发布的VEP信息被认为是向公众、技术公司和国会保证VEP程序合法性的方式。解决众所周知的安全问题——即使承认VEP过程中所犯下的错误也是起码的负责任的表现。