Ustanowienie i opublikowanie polityki skoordynowanego ujawniania podatności (CVD)

Artykuł 13 ust. 7 rozporządzenia (UE) 2024/2847 oraz Załącznik I Część II §1 nakładają na producentów obowiązek:

• Identyfikowania i dokumentowania podatności oraz komponentów zawartych w produkcie
• Posiadania polityki skoordynowanego ujawniania podatności
• Podejmowania działań ułatwiających wymianę informacji o potencjalnych podatnościach

Polityka CVD musi być publicznie dostępna, aby zewnętrzni zgłaszający mogli ją znaleźć.

1. Publiczna polityka CVD — opublikowana na stronie internetowej i możliwa do odnalezienia
2. Kontakt ds. bezpieczeństwa — dedykowany adres e-mail lub formularz internetowy do zgłaszania podatności (np. security@example.com)
3. Plik security.txt — opublikowany pod adresem /.well-known/security.txt zgodnie z RFC 9116, umożliwiający maszynowe wykrycie kontaktu
4. Zobowiązanie do potwierdzenia odbioru — określenie terminu potwierdzenia odbioru zgłoszenia (ENISA zaleca ≤ 5 dni roboczych)
5. Harmonogram ujawnienia — opis procesu skoordynowanego ujawniania, w tym obsługi okresów embargo z badaczami
6. Deklaracja zakresu — wskazanie, których produktów i wersji dotyczy polityka

Na podstawie wytycznych ENISA dotyczących CVD oraz Załącznika I Część II CRA:

• Adres kontaktowy i preferowana metoda kontaktu
• Klucz PGP / S/MIME do zaszyfrowanych zgłoszeń (zalecane)
• Języki obsługiwane przy zgłoszeniach
• Termin potwierdzenia odbioru
• Oczekiwany harmonogram aktualizacji naprawczych
• Proces koordynacji ujawniania (embargo, uznanie badacza, przypisanie CVE)
• Oświadczenie o ochronie badaczy działających w dobrej wierze

• Opublikowana polityka CVD (URL)
• Plik /.well-known/security.txt
• Dziennik przyjmowanych zgłoszeń podatności (poufny — nie wymagany publicznie)
• Zapisy otrzymanych zgłoszeń i sposobu ich obsługi