国家安全局在其网站上推出的信息图中透露,它揭示了91%的安全缺陷,它向美国技术公司揭示了它,但没有说何时暴露这些漏洞。
NSA同样也没有详细介绍在将这些安全性利用向开发人员展示之前的工作。
根据NSA的说法,其他9%的漏洞是在预定披露这些错误之前由开发商修补的,或者由于“国家安全原因”而完全不知道公众。
新闻稿被视为国家安全局(NSA)的行动,以驳斥其在计算机软件中存储有关安全缺陷的大量信息的指控。
援引其消息来源,特别是当前和前美国政府官员,路透社报告该机构仅在首先制作自己的网络攻击后才向开发人员揭示错误。
NSA在新闻稿中指出,披露脆弱性的行为意味着它放弃了有机会收集重要的外国情报,以防止恐怖袭击,停止窃取美国知识产权并发现更多可能有害其网络的安全缺陷。
“国家安全委员会有一个机构间程序可以考虑何时披露漏洞,”解释NSA在其帖子中。 “该过程要求政府权衡许多因素,包括信息对国家安全的重要性。”
尽管这些决定可能很复杂,但国家安全局指出,政府的偏见是要负责任地谨慎地揭示出安全缺陷。
2013年,前国家安全局承包商爱德华·斯诺登(Edward Snowden)泄漏该机构挥霍了2500万美元以购买零日软件漏洞。对于那些不知道零天的人来说,这些缺陷尚未被开发人员修补,开辟了剥削的可能性。
使用零天的完美例子是Stuxnet。该机构与以色列同行一起秘密渗透伊朗核计划,并最终摧毁富含铀天然气的离心机。
