協調漏洞揭露(CVD)
漏洞發現者、受影響產品製造商及其他相關方透過協調合作處理漏洞,並在修復 方案可用後方公開揭露漏洞的流程。《網路韌性法》要求製造商建立CVD政策,並 使受影響的製造商能在公開揭露前修復其漏洞。
來源引用
法律依據
歐盟法規2024/2847附件一第二部分第5項要求:
"按照歐盟委員會決議實施的協調漏洞揭露政策……"
CVD流程
- 漏洞發現——研究人員或使用者發現漏洞
- 私下通報——向製造商通報,不公開揭露
- 修復開發——製造商開發並測試修補程式
- 協調揭露時程——雙方就公開發布時間達成共識(通常為90天)
- 公開揭露——同步發布安全公告和修補程式
製造商義務
在《網路韌性法》框架下,製造商須:
- 提供專用漏洞通報管道(聯絡方式)
- 制定並發布CVD政策
- 在CVD流程中與研究人員積極配合
- 在支援期內發布安全更新
CVD與負責任揭露
「協調漏洞揭露」與「負責任揭露」是同一概念的不同表述,均指在修復可用 之前優先向廠商私下通報漏洞的原則。