CISA發布了今年的第一個約束性操作指令（BOD），命令聯邦民事機構在規定的時間范圍內消除安全漏洞。根據CISA管理的漏洞目錄中規定的時間表修復每個漏洞。該目錄詳細列出對聯邦企業帶來重大風險的已利用漏洞，并要求在6個月內修復具有2021年之前分配的通用漏洞和暴露 （CVE） ID編號的漏洞，并在即日起兩周內修復所有其他漏洞。在聯邦企業面臨嚴重風險的情況下，可能會調整這些默認時間表。與指令一同發布的需要修復的漏洞清單上有近300個漏洞，涉及幾乎所有的IT大廠。Accellion, Adobe，Apple，Apache, Android, Arcadyan, Arm, Atlassian, BQE，Cisco，Citrix, D-Link, DNN, Docker, DrayTek, Drupal, ExifTool, Exim, EyesOfNetwork, F5, ForgeRock, Fortinet，Google，IBM, ImageMagick, Ivanti, Kaseya, LifeRay, McAfee, Micro Focus, Microsoft, Mozilla、Nagios、Netgear、Netis、Oracle、PlaySMS、Progress、Pulse Secure、Qualcomm、rConfig、Realtek、Roundcube、SaltStack、SAP、SIMalliance、SolarWinds、Sonatype、SonicWall、Sophos、Sumavision、Symantec、TeamViewer、Telerik、Tenda、ThinkPHP、Trend marco、TVT、Unraid、vBulletin、VMware、WordPress、Yealink、Zoho （ManageEngine）和ZyXEL全都在列。

　　編號為BOD 22-01的（減少已知被利用漏洞的重大風險）約束性操作指令適用于面向互聯網和非面向互聯網的聯邦信息系統的軟件和硬件，包括由聯邦機構或代表機構的第三方管理的系統。

　　該指令的目標是幫助聯邦機構和公共/私營部門組織通過改進他們的漏洞管理實踐和減少他們對網絡攻擊的暴露面來積極應對持續的威脅活動。

　　CISA局長Jen Easterly說：“今天在保護聯邦民用網絡的約束性操作指令（BOD） 22-01為緩解已知的被利用的漏洞建立了時間框架，并要求改進漏洞管理程序。”

　　“BOD適用于聯邦民事機構；然而，所有組織都應該采納這個指令，并優先減輕我們公共目錄上列出的漏洞，這些漏洞正被積極地用于利用公共和私人組織。”

　　各機構被要求在兩周內修補2021年的漏洞

　　CISA公布了數百個被利用的安全漏洞的目錄，如果威脅行為者成功地濫用這些漏洞，政府系統將面臨重大風險。

　　各機構被命令按照CISA設定的時間表，對已知被利用的漏洞目錄中列出的安全漏洞進行補救：

　　在2021年11月17日之前的兩周內，應該修補今年被利用的漏洞。

　　在2020年底之前被利用的漏洞應在2022年5月3日之前的6個月內修復。

　　目前，該目錄包括2017-2020年到2021年之間識別的200多個漏洞，如果符合以下條件，CISA將定期更新新發現的漏洞：

　　該漏洞具有指定的公共漏洞和暴露（CVE） ID。

　　有可靠的證據表明，這種脆弱性在野外得到了積極的利用。

　　針對該漏洞有一個明確的補救措施，例如供應商提供的更新。

　　具體措施要求包括：

　　1、建立一個持續修復漏洞的流程，CISA 通過將其納入CISA管理的已知被利用漏洞目錄，在 CISA 根據該指令設定的時間范圍內對聯邦企業構成重大風險；

　　2、根據本指令的要求，分配執行機構行動的角色和職責；

　　3、定義必要的行動，以便對本指令要求的行動迅速做出反應；

　　4、建立內部驗證和執行程序，以確保遵守本指令；

　　5、設置內部跟蹤和報告要求，以評估對本指令的遵守情況，并根據需要向 CISA 提供報告。

　　他們還必須通過CyberScope或CDM聯邦儀表盤提交補丁狀態的季度報告，對于在2022年10月1日之前還沒有遷移出CyberScope的機構，將改為每兩周報告一次。

　　CISA表示：“以前被用于利用公共和私人組織的漏洞，是各種惡意網絡行為者的頻繁攻擊載體。”

　　“這些漏洞對機構和聯邦企業構成了重大風險。積極補救已知的被利用的漏洞，以保護聯邦信息系統，減少網絡事件是至關重要的。”