Koordynowane ujawnianie podatności (CVD)
Ustrukturyzowany proces, w ramach którego odkrywcy podatności zgłaszają informacje o podatnościach bezpośrednio producentom lub do wyznaczonych koordynatorów, umożliwiając im opracowanie i wydanie poprawki przed publicznym ujawnieniem. CRA wymaga, aby producenci ustanowili politykę CVD i wyznaczyli punkt kontaktowy do zgłaszania podatności.
Cytowania źródeł
Zobacz też
Podstawa prawna
Artykuł 13(9) Rozporządzenia (UE) 2024/2847 nakazuje producentom:
«udostępnić politykę koordynowanego ujawniania podatności i punkt kontaktowy do ich zgłaszania».
Wymagania CRA dotyczące CVD
Producenci muszą:
- Opublikować politykę CVD — opis procesu przyjmowania i obsługi zgłoszeń
- Wyznaczyć punkt kontaktowy — np. adres e-mail lub formularz internetowy
- Potwierdzić otrzymanie zgłoszenia bez zbędnej zwłoki
- Przekazywać odkrywcy informacje o postępach w usuwaniu podatności
- Publicznie ujawnić podatność po wydaniu poprawki lub po upływie uzasadnionego okresu
Rola ENISA i CSIRT
- ENISA prowadzi Europejską Bazę Danych Podatności i wspiera krajowe CSIRT jako koordynatorów
- CSIRT mogą pośredniczyć między odkrywcami a producentami, gdy bezpośrednia koordynacja zawodzi
Ujawnianie skoordynowane vs. pełne ujawnienie
CRA sprzyja skoordynowanemu ujawnianiu — producenci powinni mieć szansę usunięcia podatności przed pełnym publicznym ujawnieniem.