“嚴重”缺陷15天，“嚴重”嚴重缺陷30天。美國國土安全部(DHS)今天發布了一項具有約束力的運營指令，該指令對美國政府機構施加了嚴格的期限，在此期間，他們必須修補在互聯網可訪問系統中發現的安全漏洞。10個危險的app漏洞需要注意(免費PDF)根據今天發布的BOD 19-02，美國代理商有15個日歷日來修復一個評級為“關鍵”的安全漏洞，以及一個30天的嚴重等級為“高”級別的漏洞。

在DHS的Cyber?? Hygiene漏洞掃描系統在常規掃描期間檢測到安全漏洞的那一刻，用于修復任何缺陷的倒計時時鐘開始計時。當發生這種情況時，Cyber?? Hygiene將向受影響的政府機構的IT團隊發出警報，該團隊將不得不修復這些缺陷或面臨行政處罰。

如果在指定的時間范圍內沒有修復漏洞，DHS將向代理商發送額外的提醒。代理商可以回復這些提醒，說明他們未能更新的原因，他們部署的中間緩解措施，并提供他們計劃何時修補易受攻擊的系統的估計。

DHS并不期望所有安全漏洞都會及時修復，甚至不會修補，因為眾所周知某些系統已停止接收安全更新。國土安全部將根據CVSSv2嚴重等級評估和排序漏洞，這是一個較舊的系統，與更常用的CVSSv3等級不同，這意味著任何已識別漏洞的嚴重等級將與大多數網絡安全專家認為“高”的嚴重等級大不相同今天“至關重要”。

在今天的指令之前，國土安全部要求各機構在30天內解決“關鍵”缺陷，并沒有給政府機構任何修復被評為“高”的漏洞的截止日期。BOD 19-02今天由國土安全部新的網絡安全部門 -網絡安全和基礎設施安全局發布。

這是CISA今年發布的第二份具有約束力的操作指令。該機構此前發布了一項指令，其中包含有關美國政府機構如何保護其互聯網域免受伊朗威脅行為者犯下的DNS劫持事件的指導。