Divulgazione coordinata delle vulnerabilità (CVD)
Un processo in cui chi scopre vulnerabilità le segnala privatamente al fabbricante affinché possa sviluppare e pubblicare una correzione prima che la vulnerabilità venga divulgata pubblicamente. Il CRA impone ai fabbricanti di stabilire una politica di CVD come parte degli obblighi di gestione delle vulnerabilità previsti dall'Allegato I, Parte II.
Citazioni fonti
Vedi anche
Testo normativo
L'Allegato I, Parte II, punto 5(a) del Regolamento (UE) 2024/2847 impone ai fabbricanti di:
«elaborare e applicare una politica di divulgazione coordinata delle vulnerabilità».
Politica di CVD: elementi chiave
Una politica di CVD conforme al CRA deve includere:
- Canale di notifica — un mezzo sicuro e accessibile per i ricercatori per comunicare le vulnerabilità (ad es. security.txt, e-mail cifrata)
- Scadenze — tempo massimo tra la notifica privata e la divulgazione pubblica
- Processo di triage — come vengono valutate e prioritizzate le vulnerabilità notificate
- Coordinamento — collaborazione con i CSIRT quando necessario
Regole di notifica CVD nel CRA
| Evento | Azione richiesta |
|---|---|
| Vulnerabilità attivamente sfruttata | Notificare al CSIRT entro 24 h (Art. 14(2)(a)) |
| Incidente grave | Notificare al CSIRT entro 24 h (Art. 14(3)) |
| Vulnerabilità corretta | Divulgare pubblicamente con dettagli sufficienti (Allegato I, Parte II, pt. 8) |
CVD vs. VDP
Politica di CVD e politica di divulgazione delle vulnerabilità (VDP) sono talvolta usate come sinonimi. Il CRA utilizza «CVD», che enfatizza il coordinamento tra ricercatore, fabbricante e, ove applicabile, CSIRT.