OBL-ART13-07Binding
協調的な脆弱性開示(CVD)ポリシーの策定および公開
- 対象者
- Manufacturer
- 出典引用
- Art. 13(7)Annex I Part II §1
Last reviewed
わかりやすい説明
セキュリティ上の欠陥を報告するための明確なプロセスを公開しなければならない。報告用のメールまたはウェブフォームを設ける。 返答の速さを明示する。修正を公表する前に報告者とどのように連携するかを説明する。 ウェブサイトのルートに security.txt ファイルを設置するのが一般的な方法である。
法律条文
規則(EU)2024/2847第13条第7項および附属書I第II部第1項は、製造業者に対して以下を義務付けている:
- 製品に含まれる脆弱性およびコンポーネントを特定・文書化する
- 協調的な脆弱性開示のポリシーを持つ
- 潜在的な脆弱性に関する情報共有を促進する措置を取る
CVDポリシーは、外部の報告者が見つけられるよう公開されていなければならない。
主な要件
- 公開されたCVDポリシー——ウェブサイトで公開され、見つけやすいこと
- セキュリティ連絡先——脆弱性報告専用のメールアドレスまたはウェブフォーム(例:
security@example.com) security.txtファイル——機械的に連絡先を発見できるようにするため、RFC 9116に従い/.well-known/security.txtに公開する- 受領確認の誓約——受領確認の期限を明記する(ENISAは5営業日以内を推奨)
- 開示タイムライン——研究者とのエンバーゴ期間の扱いを含む協調的開示プロセスを説明する
- スコープの記述——ポリシーがカバーする製品とバージョンを示す
推奨されるCVDポリシー要素
ENISAのCVDガイドラインおよびCRA附属書I第II部に基づく:
- 連絡先住所および優先連絡方法
- 暗号化された提出のためのPGP / S/MIMEキー(推奨)
- 報告に対応可能な言語
- 受領確認の期限
- 修正アップデートの予想期限
- 開示調整プロセス(エンバーゴ、研究者へのクレジット、CVE割り当て)
- 善意の研究者向けセーフハーバー声明
必要となり得る証拠
- 公開されたCVDポリシー(URL)
/.well-known/security.txtファイル- 脆弱性受付ログ(秘密——公開は不要)
- 受け取った報告とその処理方法の記録