2021年11月3日，美國網絡安全與基礎設施安全局（Critical Infrastructure Security Agency, CISA）發布編號為22-01的約束性作業指令（binding operational directive, BOD）：《減輕已知被利用安全漏洞重大危害》（Reducing the Significant Risk of Known Exploited Vulnerabilities），要求聯邦政府各部門在規定的時間內，對相關漏洞采取修補措施。

　　BOD是為保障美國聯邦信息安全而發布的強制性指令，對聯邦政府及各部門具有拘束力，并由美國國土安全部負責監督執行。美國政府認為，其一直面臨持續的高強度網絡攻擊，特別是各類行為體利用漏洞發動網絡攻擊，對美國國家安全和公眾隱私構成嚴重威脅，因此美國政府必須加強防護，對已知被利用漏洞采取強有力的補救措施，減少網絡安全事件發生，切實維護聯邦信息系統安全。

　　一方面，該指令賦予CISA相關職責，要求CISA在其官方網站管理維護已知被利用漏洞目錄，并將更新情況和應對措施及時向聯邦政府各部門進行預警通報。此外，該指令還要求CISA發布添加到漏洞目錄的門檻和要求，并根據網絡安全整體情況的變化對指令進行審查，結合漏洞管理最新實踐，研究補充完善指令的措施。

　　另一方面，該指令要求聯邦政府各部門密切配合CISA的工作。各部門要根據該指令要求，對本部門內部漏洞管理程序進行審查和更新，并在指令發布60日內，對目錄中的漏洞采取修補措施。同時，各部門漏洞管理及修補情況要向CISA進行報告。

　　美國政府高度重視漏洞管理，并以國家漏洞數據庫（NVD）建設為抓手，建成了較為完善的漏洞管理體系，形成了一套協調有序開展漏洞挖掘分析、漏洞編號（CVE）、脆弱性測量與評分等的運營管理機制。與以往重視漏洞的分級與評分策略相比，22-01指令的發布，標志著CISA將對已知被利用漏洞采取補救措施作為重點工作，在網絡安全防護上發揮更加積極主動的作用。