Divulgación coordinada de vulnerabilidades (CVD)
Un proceso en el que los descubridores de vulnerabilidades informan al fabricante de forma privada para que este pueda desarrollar y publicar una corrección antes de que la vulnerabilidad sea públicamente divulgada. El CRA exige a los fabricantes que establezcan una política de CVD como parte de sus obligaciones de gestión de vulnerabilidades en el Anexo I, Parte II.
Citas de fuentes
Véase también
Texto reglamentario
El Anexo I, Parte II, punto 5(a) del Reglamento (UE) 2024/2847 exige que los fabricantes:
«elaboren y apliquen una política de divulgación coordinada de vulnerabilidades».
Política de CVD: elementos clave
Una política de CVD conforme al CRA debe incluir:
- Canal de notificación — un medio seguro y accesible para que los investigadores comuniquen las vulnerabilidades (por ejemplo, security.txt, correo electrónico cifrado)
- Plazos — tiempo máximo entre la notificación privada y la divulgación pública
- Proceso de triaje — cómo se evalúan y priorizan las vulnerabilidades notificadas
- Coordinación — colaboración con los CSIRT cuando sea necesario
Reglas de notificación CVD en el CRA
| Evento | Acción requerida |
|---|---|
| Vulnerabilidad activamente explotada | Notificar al CSIRT en 24 h (Art. 14(2)(a)) |
| Incidente grave | Notificar al CSIRT en 24 h (Art. 14(3)) |
| Vulnerabilidad corregida | Divulgar públicamente con detalles suficientes (Anexo I, Parte II, pt. 8) |
CVD vs. VDP
Política de CVD y política de divulgación de vulnerabilidades (VDP) se usan a veces como sinónimos. El CRA utiliza «CVD», que hace énfasis en la coordinación entre el investigador, el fabricante y, cuando proceda, el CSIRT.