（二）漏洞管理工作机制

1．漏洞信息共享

在漏洞管理工作中，美国等国尤其重视关键信息基础设施领域的安全漏洞管理，通过建立信息共享工作机制，促进漏洞评估与及时修复。例如，美国工业控制系统网络应急响应小组（Industrial Control Systems-Cyber Emergency Response Team，ICS-CERT）专门负责工业控制系统安全漏洞管理工作，通过采取政企合作的模式，促进漏洞等威胁信息共享，并及时处置基于漏洞利用而引发的各类工业信息安全事件，以保护国内关键信息基础设施。

其中，在漏洞共享方面，ICS-CERT要求关键信息基础设施领域的网络安全组织与行业内的网络产品和服务提供者、科研机构、应急响应机构等共享安全漏洞信息，共同研判网络威胁态势，制定应对措施。在漏洞处置方面，ICS-CERT要求充分发挥网络产品和服务提供者熟知设备原理、通晓设备脆弱性的优势，在保护好商业秘密、维护好企业利益的前提下，鼓励网络产品和服务提供者共享漏洞处置相关信息、联合网络安全厂商共同研究漏洞处置方案等。

2．漏洞赏金计划

为提升社会各界挖掘漏洞的积极性，全球诸多政府机构、军事部门采取众测模式保障漏洞挖掘的整体质量，如美国、欧盟、新加坡等均已启动漏洞赏金计划，通过利用黑客的漏洞挖掘技术，丰富网络安全漏洞资源储备。

（1）美国

美国早在2016年就启动了多项漏洞赏金计划，数千名“白帽子”参与计划，测试美国国防部、陆军、空军等部门和军队对网络攻击的抵抗力。经过近7年的发展，美国国防部已连续启动几十次漏洞赏金计划，在漏洞挖掘方面取得了显著成效。同时，美国不断完善漏洞赏金计划，拓展信息系统漏洞挖掘范围。

（2）欧盟

欧盟长期致力于开源软件安全漏洞管理，于2017年启动了针对免费视频播放器VLC media player的漏洞赏金计划；于2018年启动了开源软件审计项目EU-FOSSA漏洞赏金计划，共赞助了14个项目。2022年1月，欧盟委员会开源计划办公室启动漏洞赏金计划，针对欧盟公共服务部门大量使用的LibreOffice、Mastodon、Odoo、CryptoPad、LeOS 5个开源项目提供漏洞挖掘奖励资金，该计划拟在漏洞赏金平台Intigriti上全年运行，奖励可高达20万欧元。

（3）新加坡

新加坡政府也高度重视漏洞赏金计划的作用。2018年，新加坡国防部悬赏查找国防部的8个重要系统的安全漏洞，计划实施期间共发现35个安全漏洞。2021年9月，新加坡政府科技局推出VRP漏洞赏金计划，该计划涵盖提供重要的数字政府服务的系统，包括Singpass和Corppass（GovTech）、会员电子服务、工作证综合系统，赏金最高可达15万美元。该计划旨在进一步加强现有的政府漏洞赏金计划和漏洞披露计划的作用。