漏洞
數位元素產品中存在的、可能被威脅行為者利用以破壞該產品或所連系統安全的 弱點。《網路韌性法》要求製造商在整個支援期內承擔廣泛的漏洞識別、處理和 揭露義務。
來源引用
法律依據
歐盟法規2024/2847第3條(22)款將漏洞定義為:
"軟體或硬體中可被威脅行為者利用的弱點。"
漏洞類型
| 類型 | 描述 |
|---|---|
| 軟體漏洞 | 程式碼缺陷、錯誤設定 |
| 硬體漏洞 | 微架構缺陷、韌體問題 |
| 流程漏洞 | 不安全的更新機制、缺乏驗證 |
《網路韌性法》下的漏洞相關義務
製造商須:
- 確保產品上市時無已知可利用漏洞
- 在支援期內建立漏洞識別和處理政策
- 維護軟體物料清單(追蹤元件漏洞)
- 建立**協調漏洞揭露(CVD)**政策
- 向CSIRT通報積極遭利用的漏洞
- 免費提供安全更新
漏洞揭露流程
- 透過內部或外部通報發現漏洞
- 驗證和分析漏洞(CVSS評分等)
- 與利害關係人進行協調揭露(CVD)
- 提供安全更新
- 發布CVE和公開安全公告