В США опубликовали новую версию документа, который подробно описывает, какие государственные агентства этой страны вовлечены в процесс сбора информации о багах в распространенном ПО и эксплойтах для них, и по каким критериям они выбирают, какие уязвимости сохранить в тайне, а о каких уведомлять вендоров уязвимого софта.

Согласно документу, отбором уязвимостей занимается комиссия, состоящая из представителей сразу десяти правительственных ведомств, в числе которых ЦРУ, Госдепартамент, министерства обороны, юстиции и финансов.

Каждый месяц эта комиссия собирается для обсуждения выявленных багов и решает, что с ними делать. Критериями оценки служат распространенность уязвимого продукта, простота обнаружения и эксплуатации уязвимости, возможные последствия такой эксплуатации, насколько просто или сложно эту уязвимость исправить и какую оперативную ценность этот баг может представлять для разведывательной или правоохранительной деятельности.

В некоторых случаях Vulnerability Equities Process (VEP, «Регламент сбора ценных уязвимостей») предполагает публикацию сведений о том, как уязвимость можно исправить, но без каких-либо технических подробностей о ней самой. В отдельных случаях право на использование тех или иных уязвимостей будет зарезервировано лишь за определенными ведомствами.

Надзирать за всей процедурой поручено Конгрессу США, которому регулярно будут направляться отчеты об использовании уязвимостей и статистика по раскрытию таковых. Часть данных будет публиковаться открыто, часть останется конфиденциальной.