協調的脆弱性開示(CVD)
脆弱性の発見者が脆弱性情報を製造業者または指定コーディネーターに直接報告 することで、製造業者が公開前にパッチを開発・リリースできるようにする構造化 プロセス。CRAは製造業者にCVDポリシーの策定と脆弱性報告のための連絡先の指定 を義務付けている。
出典引用
法的根拠
規則(EU)2024/2847第13条(9)は製造業者に対して以下を義務付けている:
「脆弱性の協調的開示ポリシーおよびその報告のための連絡先を公開する。」
CRAのCVD要件
製造業者は次のことを行わなければならない:
- CVDポリシーを公開する — 報告の受付と処理プロセスの説明
- 連絡先を指定する — メールアドレスやウェブフォームなど
- 受領を確認する — 遅滞なく
- 修正の進捗について発見者に情報提供する
- パッチのリリース後または合理的な期間の経過後に脆弱性を公開する
ENISAとCSIRTの役割
- ENISAは欧州脆弱性データベースを管理し、直接調整が機能しない場合の コーディネーターとして各国CSIRTを支援する
- CSIRTは発見者と製造業者の間を仲介することができる
協調的開示と完全開示の比較
CRAは協調的開示を推奨しており、製造業者は完全な公開開示の前に脆弱性を 修正する機会を持つ必要がある。