ਵਲਨੇਬਰੇਬਿਲਟੀਜ਼ ਇਕਵਿਟੀ ਪ੍ਰਕਿਰਿਆ ( ਵੀਈਪੀ )
ਵਲਨੇਬਰੇਬਿਲਟੀਜ਼ ਇਕਵਿਟੀ ਪ੍ਰਕਿਰਿਆ ( ਵੀਈਪੀ ), ਯੂ ਐਸ ਦੀ ਫੈਡਰਲ ਸਰਕਾਰ ਦੁਆਰਾ ਇੱਕ ਪ੍ਰਕਿਰਿਆ ਹੈ ਜੋ ਇੱਕ ਕੇਸ-ਦਰ-ਕੇਸ ਦੇ ਅਧਾਰ ਤੇ ਇਹ ਨਿਰਧਾਰਤ ਕਰਨ ਲਈ ਵਰਤੀ ਜਾਂਦੀ ਹੈ ਕਿ ਇਸ ਨੂੰ ਜ਼ੀਰੋ-ਡੇਅ ਕੰਪਿਊਟਰ ਸੁਰੱਖਿਆ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਕਿਵੇਂ ਇਲਾਜ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ ; ਭਾਵੇਂ ਉਹ ਸਰਕਾਰ ਦੇ ਵਿਰੋਧੀਆਂ ਖਿਲਾਫ ਅਪਮਾਨਜਨਕ ਵਰਤੋਂ ਲਈ ਉਨ੍ਹਾਂ ਨੂੰ ਗੁਪਤ ਰੱਖਣ ਜਾਂ ਕੰਪਿਊਟਰ ਦੀ ਸੁੱਰਖਿਆ ਨੂੰ ਬਿਹਤਰ ਬਣਾਉਣ ਲਈ ਲੋਕਾਂ ਨੂੰ ਦੱਸਣ ਬਾਰੇ ਹੋਵੇ । [1]
२००8-२००9 ਦੀ ਮਿਆਦ ਦੇ ਦੌਰਾਨ ਵੀਈਪੀ ਪਹਿਲੀ ਵਾਰ ਵਿਕਸਤ ਕੀਤੀ ਗਈ ਸੀ, ਪਰੰਤੂ ਇਹ ਸਿਰਫ 2016 ਵਿੱਚ ਜਨਤਕ ਹੋਇਆ , ਜਦੋਂ ਇਲੈਕਟ੍ਰਾਨਿਕ ਫਰੰਟੀਅਰ ਫਾਉਂਡੇਸ਼ਨ ਦੁਆਰਾ ਐਫਓਆਈਏ ਦੀ ਬੇਨਤੀ ਦੇ ਜਵਾਬ ਵਿੱਚ ਸਰਕਾਰ ਨੇ ਵੀਈਪੀ ਦਾ ਇੱਕ ਛੋਟੀ ਜਿਹੀ ਵਰਜ਼ਨ ਜਾਰੀ ਕੀਤਾ। [2] [3]
ਭਾਗੀਦਾਰ
ਸੋਧੋ2017 ਵਿੱਚ ਪ੍ਰਕਾਸ਼ਤ ਵੀ.ਈ.ਪੀ. ਯੋਜਨਾ ਦੇ ਅਨੁਸਾਰ, ਇਕੁਇਟੀ ਰਿਵਿਓ ਬੋਰਡ (ਈ.ਆਰ.ਬੀ.) ਇਕਸੁਰਤਾ ਵਿਚਾਰ-ਵਟਾਂਦਰੇ ਅਤੇ ਵੀਈਪੀ ਸੰਬੰਧੀ ਨਿਰਧਾਰਣਾਂ ਦਾ ਮੁਢਲਾ ਮੰਚ ਹੈ। [4] ਈ.ਆਰ.ਬੀ. ਹਰ ਮਹੀਨੇ ਮਿਲਦਾ ਹੈ, ਪਰ ਜੇ ਜਲਦੀ ਜ਼ਰੂਰਤ ਹੋਏ ਤਾਂ ਜਲਦੀ ਵੀ ਬੁਲਾਇਆ ਜਾ ਸਕਦਾ ਹੈ।
ਈ.ਆਰ.ਬੀ. ਵਿੱਚ ਸ਼ਾਮਲ ਏਜੰਸੀਆਂ ਦੇ ਪ੍ਰਤੀਨਿਧੀ ਹੇਠ ਲਿਖੀਆਂ ਹੈ :
- ਪ੍ਰਬੰਧਨ ਅਤੇ ਬਜਟ ਦਾ ਦਫਤਰ
- ਨੈਸ਼ਨਲ ਇੰਟੈਲੀਜੈਂਸ ਦੇ ਡਾਇਰੈਕਟਰ ਦਾ ਦਫਤਰ ( ਇੰਟੈਲੀਜੈਂਸ ਕਮਿਊਨਿਟੀ-ਸਿਕਿਓਰਟੀ ਕੋਆਰਡੀਨੇਸ਼ਨ ਸੈਂਟਰ ਸਮੇਤ )
- ਸੰਯੁਕਤ ਰਾਜ ਦੇ ਖਜ਼ਾਨਾ ਵਿਭਾਗ
- ਸੰਯੁਕਤ ਰਾਜ ਦੇ ਵਿਦੇਸ਼ ਵਿਭਾਗ
- ਸੰਯੁਕਤ ਰਾਜ ਦਾ ਨਿਆਂ ਵਿਭਾਗ ( ਫੈਡਰਲ ਬਿਊਰੋ ਆਫ਼ ਇਨਵੈਸਟੀਗੇਸ਼ਨ ਅਤੇ ਨੈਸ਼ਨਲ ਸਾਈਬਰ ਇਨਵੈਸਟੀਗੇਟਿਵ ਜੁਆਇੰਟ ਟਾਸਕ ਫੋਰਸ ਸਮੇਤ )
- ਹੋਮਲੈਂਡ ਸਿਕਿਓਰਿਟੀ ਵਿਭਾਗ ( ਰਾਸ਼ਟਰੀ ਸਾਈਬਰਸਕਯੁਰਿਟੀ ਐਂਡ ਕਮਿਊਨੀਕੇਸ਼ਨਜ਼ ਏਕੀਕਰਣ ਕੇਂਦਰ ਅਤੇ ਸੰਯੁਕਤ ਰਾਜ ਦੀ ਗੁਪਤ ਸੇਵਾ ਸਮੇਤ )
- ਸੰਯੁਕਤ ਰਾਜ ਦੇ ਊਰਜਾ ਵਿਭਾਗ
- ਸੰਯੁਕਤ ਰਾਜ ਰੱਖਿਆ ਵਿਭਾਗ ( ਇਨਫਾਰਮੇਸ਼ਨ ਅਸ਼ੋਰੈਂਸ ਅਤੇ ਸਿਗਨਲ ਇੰਟੈਲੀਜੈਂਸ ਤੱਤ ਸਮੇਤ ਰਾਸ਼ਟਰੀ ਸੁਰੱਖਿਆ ਏਜੰਸੀ ਨੂੰ ਸ਼ਾਮਲ ਕਰਨ ਲਈ), ਯੂਨਾਈਟਿਡ ਸਟੇਟਸ ਸਾਈਬਰ ਕਮਾਂਡ, ਅਤੇ ਡੀਓਡੀ ਸਾਈਬਰ ਕ੍ਰਾਈਮ ਸੈਂਟਰ )
- ਸੰਯੁਕਤ ਰਾਜ ਦੇ ਵਪਾਰਕ ਵਿਭਾਗ
- ਕੇਂਦਰੀ ਖੁਫੀਆ ਏਜੰਸੀ
ਪ੍ਰਕਿਰਿਆ
ਸੋਧੋਵੀਈਪੀ ਦੇ ਨਵੰਬਰ 2017 ਦੇ ਸੰਸਕਰਣ ਦੇ ਅਨੁਸਾਰ ਪ੍ਰਕਿਰਿਆ:
ਅਧੀਨਗੀ ਅਤੇ ਨੋਟੀਫਿਕੇਸ਼ਨ
ਸੋਧੋਜਦੋਂ ਕਿਸੇ ਏਜੰਸੀ ਨੂੰ ਕੋਈ ਕਮਜ਼ੋਰੀ ਮਿਲਦੀ ਹੈ, ਤਾਂ ਇਹ ਵੀਈਪੀ ਸਕੱਤਰੇਤ ਨੂੰ ਜਿੰਨੀ ਜਲਦੀ ਸੰਭਵ ਹੋ ਸਕੇ ਸੂਚਿਤ ਕਰੇਗੀ।
ਨੋਟੀਫਿਕੇਸ਼ਨ ਵਿਚ ਕਮਜ਼ੋਰੀ ਅਤੇ ਕਮਜ਼ੋਰ ਉਤਪਾਦਾਂ ਜਾਂ ਪ੍ਰਣਾਲੀਆਂ ਦਾ ਵੇਰਵਾ ਸ਼ਾਮਲ ਕੀਤਾ ਜਾਵੇਗਾ, ਏਜੰਸੀ ਦੀ ਸਿਫਾਰਸ਼ ਦੇ ਨਾਲ ਜਾਂ ਤਾਂ ਕਮਜ਼ੋਰ ਹੋਣ ਦੀ ਜਾਣਕਾਰੀ ਨੂੰ ਪ੍ਰਸਾਰਿਤ ਕੀਤਾ ਜਾਂ ਇਸ ਨੂੰ ਸੀਮਤ ਕੀਤਾ ਜਾਦਾਂ ਹੈ।ਸਕੱਤਰੇਤ ਤਦ ਇੱਕ ਕਾਰੋਬਾਰੀ ਦਿਨ ਦੇ ਅੰਦਰ ਅਧੀਨਗੀ ਦੇ ਸਾਰੇ ਭਾਗੀਦਾਰਾਂ ਨੂੰ ਸੂਚਿਤ ਕਰੇਗਾ, ਉਹਨਾਂ ਨੂੰ ਬੇਨਤੀ ਕਰੇਗਾ ਕਿ ਜੇ ਉਹਨਾਂ ਦੀ ਕੋਈ ਰੁਚੀ ਹੈ ਤਾਂ ਉਸਨੂੰ ਜਵਾਬ ਦੇਣ ਲਈ ਆ ਜਾਣ। [4]
ਇਕੁਇਟੀ ਅਤੇ ਵਿਚਾਰ ਵਟਾਂਦਰੇ
ਸੋਧੋਦਿਲਚਸਪੀ ਜਤਾਉਣ ਵਾਲੀ ਇਕ ਏਜੰਸੀ ਨੂੰ ਇਹ ਦੱਸਣਾ ਲਾਜ਼ਮੀ ਹੈ ਕਿ ਕੀ ਇਹ ਅਸਲ ਸਿਫਾਰਸ਼ ਨਾਲ ਸਹਿਮਤ ਹੈ ਜਾਂ ਇਸ ਨੂੰ ਪੰਜ ਕਾਰੋਬਾਰੀ ਦਿਨਾਂ ਦੇ ਅੰਦਰ ਪ੍ਰਸਾਰ ਜਾਂ ਪ੍ਰਤਿਬੰਧਿਤ ਕਰਨਾ ਹੈ। ਜੇ ਕੋਈ ਸਹਿਮਤੀ ਨਹੀਂ ਬਣਦੀ, ਭਾਗੀਦਾਰ ਇਕਵਿਟੀ ਸਮੀਖਿਆ ਬੋਰਡ ਲਈ ਵਿਕਲਪ ਸੁਝਾਉਣਗੇ। [4]
ਪ੍ਰਸਾਰ ਜਾਂ ਪ੍ਰਤੀਬੰਧਿਤ ਕਰਨ ਦਾ ਫੈਸਲਾ
ਸੋਧੋਇਹ ਫੈਸਲਾ ਕਿ ਕੀ ਕਿਸੇ ਕਮਜ਼ੋਰੀ ਨੂੰ ਜ਼ਾਹਰ ਕਰਨਾ ਹੈ ਜਾਂ ਇਸ ਨੂੰ ਸੀਮਤ ਕਰਨਾ ਹੈ, ਸਾਰੀਆਂ ਸਬੰਧਤ ਏਜੰਸੀਆਂ ਨਾਲ ਪੂਰੀ ਸਲਾਹ ਮਸ਼ਵਰੇ ਨਾਲ, ਅਤੇ ਅਮਰੀਕੀ ਸਰਕਾਰ ਦੇ ਮਿਸ਼ਨਾਂ ਦੇ ਮੁਕਾਬਲੇ ਵਾਲੇ ਹਿੱਤਾਂ ਦੇ ਸਰਵਉੱਚ ਹਿੱਤ ਲਈ, ਤੇਜ਼ੀ ਨਾਲ ਲਿਆ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ।
ਜਿੱਥੋਂ ਤੱਕ ਸੰਭਵ ਹੋ ਸਕੇ,ਪ੍ਰਸਾਰ, ਨਿਰਭਰਤਾ ਅਤੇ ਗੰਭੀਰਤਾ ਵਰਗੇ ਖਾਤੇ ਨੂੰ ਧਿਆਨ ਵਿੱਚ ਰੱਖਦਿਆਂ ਨਿਰਧਾਰਣਾਂ ਤਰਕਸ਼ੀਲ, ਉਦੇਸ਼ਵਾਦੀ ਵਿਧੀਆਂ ਤੇ ਅਧਾਰਤ ਹੋਣੀਆਂ ਚਾਹੀਦੀਆਂ ਹਨ । ਜੇ ਸਮੀਖਿਆ ਬੋਰਡ ਦੇ ਮੈਂਬਰ ਸਹਿਮਤੀ ਤੇ ਨਹੀਂ ਪਹੁੰਚ ਸਕਦੇ, ਉਹ ਮੁਢਲੇ ਦ੍ਰਿੜਤਾ ਤੇ ਵੋਟ ਪਾਉਣਗੇ। ਜੇ ਕਿਸੇ ਇਕੁਇਟੀ ਵਾਲੀ ਏਜੰਸੀ ਉਸ ਫੈਸਲੇ ਦਾ ਵਿਵਾਦ ਕਰਦੀ ਹੈ, ਤਾਂ ਉਹ ਵੀਈਪੀ ਸਕੱਤਰੇਤ ਨੂੰ ਨੋਟਿਸ ਦੇ ਕੇ, ਮੁਢਲੇ ਦ੍ਰਿੜਤਾ ਦਾ ਮੁਕਾਬਲਾ ਕਰਨ ਦੀ ਚੋਣ ਕਰ ਸਕਦੇ ਹਨ। ਜੇ ਕੋਈ ਏਜੰਸੀ ਮੁਢਲੇ ਦ੍ਰਿੜਤਾ ਨਾਲ ਮੁਕਾਬਲਾ ਨਹੀਂ ਕਰਦੀ, ਤਾਂ ਇਸ ਨੂੰ ਅੰਤਮ ਫੈਸਲਾ ਮੰਨਿਆ ਜਾਵੇਗਾ। [4]
ਪ੍ਰਬੰਧਨ ਅਤੇ ਫਾਲੋ-ਆਨ ਕਾਰਵਾਈਆਂ
ਸੋਧੋਜੇ ਕਮਜ਼ੋਰੀ ਦੀ ਜਾਣਕਾਰੀ ਜਾਰੀ ਕੀਤੀ ਜਾਂਦੀ ਹੈ, ਤਾਂ ਅੰਦਰ ਤਰਜੀਹੀ ਤੌਰ 'ਤੇ ਇਹ ਛੇਤੀ ਤੋਂ ਛੇਤੀ ਸੱਤ ਵਪਾਰਕ ਦਿਨਾਂ ਦੇ ਹੋ ਜਾਵੇਗਾ। ਸਹਿਮਤ ਹੋਏ ਦਿਸ਼ਾ ਨਿਰਦੇਸ਼ਾਂ ਅਨੁਸਾਰ ਕਮਜ਼ੋਰੀ ਦਾ ਖੁਲਾਸਾ ਸਾਰੇ ਮੈਂਬਰਾਂ ਦੁਆਰਾ ਕੀਤਾ ਜਾਵੇਗਾ।
ਸਬਮਿਟ ਕਰਨ ਵਾਲੀ ਏਜੰਸੀ ਨੂੰ ਕਮਜ਼ੋਰੀ ਬਾਰੇ ਬਹੁਤ ਗਿਆਨਵਾਨ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ ਅਤੇ ਜਿਵੇਂ ਕਿ, ਵਿਕਰੇਤਾ ਨੂੰ ਕਮਜ਼ੋਰ ਹੋਣ ਦੀ ਜਾਣਕਾਰੀ ਦੇ ਪ੍ਰਸਾਰ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਹੋਵੇਗੀ। ਆਪਣੀ ਤਰਫੋਂ ਜਮ੍ਹਾ ਕਰਨ ਵਾਲੀ ਏਜੰਸੀ ਕਿਸੇ ਹੋਰ ਏਜੰਸੀ ਨੂੰ ਪ੍ਰਸਾਰ ਦੀ ਜ਼ਿੰਮੇਵਾਰੀ ਸੌਂਪ ਸਕਦੀ ਹੈ।
ਜਾਰੀ ਕਰਨ ਵਾਲੀ ਏਸੀ ਰਿਕਾਰਡ ਜਾਰੀ ਰੱਖਣ ਲਈ ਜ਼ਾਹਰ ਕੀਤੀ ਗਈ ਜਾਣਕਾਰੀ ਦੀ ਇੱਕ ਕਾਪੀ ਵੀ.ਈ.ਪੀ. ਸਕੱਤਰੇਤ ਨੂੰ ਤੁਰੰਤ ਮੁਹੱਈਆ ਕਰਵਾਏਗੀ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਜਾਰੀ ਕਰਨ ਵਾਲੀ ਏਜੰਸੀ ਤੋਂ ਅੱਗੇ ਆਉਣ ਦੀ ਉਮੀਦ ਕੀਤੀ ਜਾਂਦੀ ਹੈ ਤਾਂ ਜੋ ਈਆਰਬੀ ਇਹ ਨਿਰਧਾਰਤ ਕਰ ਸਕੇ ਕਿ ਵਿਕਰੇਤਾ ਦੀ ਕਾਰਵਾਈ ਸਰਕਾਰੀ ਜ਼ਰੂਰਤਾਂ ਨੂੰ ਪੂਰਾ ਕਰਦੀ ਹੈ ਜਾਂ ਨਹੀਂ। [4]
ਆਲੋਚਨਾ
ਸੋਧੋਵੀ.ਈ.ਪੀ. ਪ੍ਰਕਿਰਿਆ ਦੀ ਅਨੇਕ ਕਮੀਆਂ ਲਈ ਅਲੋਚਨਾ ਕੀਤੀ ਗਈ ਹੈ, ਜਿਸ ਵਿੱਚ ਖੁਲਾਸਾ ਨਾ ਕਰਨ ਵਾਲੇ ਸਮਝੌਤਿਆਂ ਦੁਆਰਾ ਪਾਬੰਦੀ,ਐੱਨ ਐੱਸ ਏ ਲਈ ਵਿਸ਼ੇਸ਼ ਇਲਾਜ, ਜੋਖਮ ਰੇਟਿੰਗ ਦੀ ਘਾਟ ਹੈ। [5]
ਹਵਾਲੇ
ਸੋਧੋ- ↑ Newman, Lily Hay (ਨਵੰਬਰ 15, 2017). "Feds Explain Their Software Bug Stash—But Don't Erase Concerns". WIRED (in ਅੰਗਰੇਜ਼ੀ (ਅਮਰੀਕੀ)). Retrieved ਨਵੰਬਰ 16, 2017.
- ↑ Electronic Privacy Information Center. "Vulnerabilities Equities Process". epic.org (in ਅੰਗਰੇਜ਼ੀ). Retrieved ਨਵੰਬਰ 16, 2017.
{{cite web}}
:|last=
has generic name (help) - ↑ "Vulnerabilities Equities Process (VEP)". Electronic Frontier Foundation (in ਅੰਗਰੇਜ਼ੀ). ਜਨਵਰੀ 18, 2016. Retrieved ਨਵੰਬਰ 16, 2017.
- ↑ 4.0 4.1 4.2 4.3 4.4 "Vulnerabilities Equities Policy and Process for the United States Government" (PDF). www.whitehouse.gov. ਨਵੰਬਰ 15, 2017. Archived from the original (PDF) on ਅਕਤੂਬਰ 17, 2020. Retrieved ਨਵੰਬਰ 16, 2017.
{{cite web}}
: Unknown parameter|dead-url=
ignored (|url-status=
suggested) (help) ਹਵਾਲੇ ਵਿੱਚ ਗ਼ਲਤੀ:Invalid<ref>
tag; name "VEP2017" defined multiple times with different content - ↑ McCarthy, Kieren (ਨਵੰਬਰ 15, 2017). "The four problems with the US government's latest rulebook on security bug disclosures". The Register (in ਅੰਗਰੇਜ਼ੀ). Retrieved ਨਵੰਬਰ 16, 2017.
ਇਹ ਵੀ ਵੇਖੋ
ਸੋਧੋ- ਸਾਈਬਰ-ਹਥਿਆਰਾਂ ਦਾ ਉਦਯੋਗ
- ਟੇਲਰਡ ਐਕਸੈਸ ਓਪਰੇਸ਼ਨ