新举措：为网络安全研究者提供政策指导与法律保护

关键要点

谷歌与其他企业将推出一系列新倡议，旨在为从事“善意”漏洞研究和披露的安全研究人员提供政策指导和法律保护。同时，这家科技巨头还表示将正式化内部政策，在谷歌产品的漏洞被恶意利用时保持公开透明。

这些举措包括成立一个行业主导的黑客政策委员会，旨在汇聚志同道合的组织和领导者，专注于倡导新的政策和法规，以支持漏洞管理和披露的最佳实践，并确保不损害用户安全。此外，还计划成立一个非营利机构，负责资助在进行漏洞研究和披露时遭到起诉或指控的安全研究人员的法律费用，详细信息在周三发布的博客中公布。

该委员会将包括来自漏洞赏金公司HackerOne、BugCrowd、Intigriti和LutaSecurity的代表，以及专注于网络安全法律和政策事务的律师事务所Venable及英特尔。

> “我认为这非常像是自愿的联盟，”谷歌安全政策负责人查理·斯奈德在被问及委员会如何选择初始成员时表示。“并没有真正的成员标准……这是一个相当专业化的政策领域，这些公司都非常关注得到正确的结果。”

斯奈德和谷歌Project Zero负责人Tim Willis提到了一系列国际标准（ISO27001、27002和30179），作为该委员会建议将遵循的标准和最佳实践的案例。

委员会的成立恰逢美国及其他国家显著增强对网络安全的监管，以防止网络攻击对特定行业、关键基础设施和其他重要服务造成重大干扰和扩散。

拜登政府的国家网络安全战略的核心之一正是利用现有或未来的监管权限。而美国证券交易委员会、运输安全管理局和环境保护局等机构，最近也陆续提出了一系列行业特定的网络安全法规或提案。

另一个宣布的倡议是为安全研究人员设立的法律防卫基金，以支持因进行“善意研究”而被起诉或指控的案例。谷歌方面表示将为该基金提供种子资金，但基金将作为独立的501c3非营利实体进行管理。

在一场活动上，Venable的网络安全律师哈雷·盖格提到，诸如密苏里州州长威胁
一名记者告诉州政府某网站漏洞的事件，将是该基金将支持的案例之一。盖格指出，目前该基金并不打算为受影响的研究人员提供直接的法律代表或服务。

在拜登总统任内，司法部已将“善意”网络安全研究的非起诉政策正式化，避免根据计算机欺诈和滥用法起诉此类研究。但数字公民自由组织对执法机构如何界定此类努力仍然存在质疑。此外，在揭露或报道其产品漏洞时，研究人员和记者也面临着来自私营公司和组织的诉讼威胁
。

> “目前，我们有很多法规……实际上是写在一个缺乏对漏洞发现与恶意黑客防范之间关系的细腻理解的时代，”Luta Security的首席执行官凯特·穆索里斯表示。“我认为，要将这些法规调整至有效的位置是很困难的，并且确实有很多改进空间和意图的不明确。”

此外，谷歌虽然已经在发现漏洞后七天内披露其产品在现实中被利用的情况，但未来将正式化这一做法，制定为公司官方政策。