OBL-ART13-07Binding
조정된 취약점 공개(CVD) 정책 수립 및 공표
- 적용 대상
- Manufacturer
- 출처 인용
- Art. 13(7)Annex I Part II §1
Last reviewed
쉬운 설명
보안 취약점 신고를 위한 명확한 프로세스를 게시하여야 합니다. 신고를 위한 이메일 또는 웹 양식을 추가하고, 회신 속도를 명시하며, 수정 사항 공개 전에 신고자와 어떻게 협력할 것인지 설명하십시오. 웹사이트 루트의 security.txt 파일이 이를 위한 일반적인 방법입니다.
법률 조문
규정(EU) 2024/2847 제13조 제7항 및 부속서 I 제2부 §1은 제조업체가 다음을 이행하도록 의무화합니다.
- 제품에 포함된 취약점 및 구성 요소를 식별하고 문서화
- 조정된 취약점 공개 정책 보유
- 잠재적 취약점 정보의 공유를 촉진하는 조치 이행
CVD 정책은 외부 신고자가 찾을 수 있도록 공개적으로 이용 가능하여야 합니다.
주요 요건
- 공개적 CVD 정책 — 웹사이트에 게시되고 발견 가능하여야 함
- 보안 연락처 — 취약점 신고를 위한 전용 이메일 주소 또는 웹 양식
(예:
security@example.com) security.txt파일 — RFC 9116에 따라/.well-known/security.txt에 게시하여 연락처를 기계 판독 가능하게 공개- 확인 기간 약속 — 접수 확인 기간 명시 (ENISA는 영업일 기준 5일 이내 권장)
- 공개 일정 — 연구자와의 엠바고 기간 처리 방법을 포함한 조정된 공개 프로세스 기술
- 범위 명시 — 해당 정책이 적용되는 제품 및 버전 표시
권장 CVD 정책 요소
ENISA CVD 지침 및 CRA 부속서 I 제2부를 기반으로:
- 연락처 주소 및 선호 연락 방법
- 암호화 제출을 위한 PGP / S/MIME 키 (권장)
- 지원 신고 언어
- 확인 기간
- 예상 수정 업데이트 일정
- 공개 조정 프로세스 (엠바고, 연구자 크레딧, CVE 할당)
- 선의의 연구자를 위한 안전 보장 진술
필요할 수 있는 증거
- 게시된 CVD 정책 (URL)
/.well-known/security.txt파일- 취약점 접수 로그 (기밀 — 공개 요구 불필요)
- 접수된 신고 및 처리 방법 기록