文章总结： 美国众议院通过联邦承包商网络安全漏洞消减法案，要求供应商强制实施符合NIST标准的漏洞披露政策。该法案旨在促进漏洞负责任披露与修复，提升整体安全态势，目前已提交参议院审议。 综合评分： 75 文章分类： 政策法规,供应链安全,安全建设

美国众议院通过法案：强制政府供应商设立漏洞披露计划

安全内参编译 安全内参编译

安全内参

2025年3月7日 16:33 北京

关注我们

带你读懂网络安全

美国众议院通过《联邦承包商网络安全漏洞消减法案》，要求联邦承包商必须制定漏洞披露计划。

前情回顾·美国网络安全立法动态

• 美国会拟立法：将太空系统作为关基设施进行保护
• 美国2025财年国防授权法案网络安全看点解析
• 美国会拟立法：小微企业实施网络安全合规可抵免税费
• 美国拟立法推动联邦政府网络安全漏洞全面消减工程

安全内参3月7日消息，美国众议院近日通过了一项法案，要求联邦承包商强制实施漏洞披露政策（VDP），并遵循与联邦机构一致的漏洞披露要求，以加快漏洞消减目标的实现。

《2025年联邦承包商网络安全漏洞消减法案》明确要求，美国管理与预算办公室（OMB）须与网络安全和基础设施安全局（CISA）、国家网络总监办公室（ONCD）、国家标准与技术研究院（NIST）及其他相关机构协作，监督《联邦采购法规》的更新工作，确保联邦承包商实施符合NIST漏洞披露指南的漏洞披露政策。

该法案还要求国防部长监督《国防联邦采购条例补充》的更新，以确保国防承包商同样执行类似的漏洞披露政策。

主要供应商积极推动立法

该法案旨在让安全研究人员和企业，能够更加便捷且负责任地向承包商报告发现的漏洞，并确保漏洞在被攻击者利用之前得到妥善修复。

就在众议院通过该法案的前几天，多家主要网络安全和科技公司联合致信国会，敦促众议院和参议院尽快批准该立法。

HackerOne、Bugcrowd、微软、Infoblox、Rapid7、趋势科技、Tenable以及施耐德电气在信中表示：“联邦承包商处理着大量敏感数据，因此成为网络攻击的主要目标。该法案将确保所有与联邦政府合作的供应商遵循安全最佳实践，从而提升整体安全态势。”

信中进一步指出：“该法案是在现有政策的基础上，进一步推动漏洞披露政策的普及，鼓励安全研究人员和企业主动发现并报告漏洞，以降低关键系统遭受攻击的风险。”

该法案最早由共和党众议员Nancy Mace于2023年提出，并经过两年的推动逐步获得通过。2024年，民主党参议员Mark R. Warner和共和党参议员James Lankford在参议院提出了对应版本，以加快立法进程。

2024年5月，该法案获得众议院监督与问责委员会批准，随后被纳入《国防授权法案》。

目前，该法案已送交参议院，并移交至国土安全与政府事务委员会审议。

参考资料：securityweek.com

推荐阅读

• 网安智库平台长期招聘兼职研究员
• 欢迎加入“安全内参热点讨论群”

点击下方卡片关注我们，

带你一起读懂网络安全 ↓

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全内参 安全内参编译 安全内参编译《美国众议院通过法案：强制政府供应商设立漏洞披露计划》