OBL-ART13-06Binding
確保投放市場時不存在已知可利用的漏洞
- 適用於
- Manufacturer
- 來源引用
- Art. 13(6)Annex I Part I §3
Last reviewed
通俗語言
您不得在明知存在可被利用之安全漏洞的情況下出貨產品。在每次發布前——包括軟體更新—— 對照已知漏洞資料庫(例如NVD和EUVD)檢查您自己的程式碼和所有第三方元件。 發現問題後在出貨前修復。
法律條文
《歐盟法規》(EU) 2024/2847 第13條第(6)款和附件I第I部分第3條要求,在將含數位元素 之產品投放市場時,製造商確保產品不含任何已知可利用的漏洞。
此義務適用於:
- 首次投放市場時
- 向使用者提供的每個後續軟體更新
主要要求
- 發布前漏洞掃描 — 在每次發布前執行SCA和SAST檢查
- CVE/EUVD核查 — 對照國家漏洞資料庫(NVD)、歐盟漏洞資料庫(EUVD)及相關顧問 摘要核查所有元件(第一方和第三方)
- 不得出貨CVSS關鍵漏洞 — 除非已建立有記錄的、有時間限制的風險接受決策,否則不得 出貨含已知關鍵或高嚴重性可利用漏洞的產品
- 更新管道核查 — 相同的無已知漏洞要求適用於推送給使用者的每個安全更新和功能版本
- 發布時有記錄 — 保留每個出貨版本的漏洞狀態評估作為證據
範圍說明
「已知可利用」是指已發布CVE或等效公告且在部署狀態下的產品中存在實際可利用路徑的 漏洞。在正常使用中無法執行的理論性或高度有條件的風險,應依據風險相稱性原則進行評估。
可能需要的證據
- 每次發布的SCA和SAST掃描報告
- 每次發布日期的CVE/EUVD資料庫查詢記錄
- 風險接受記錄(針對已接受的剩餘風險)
- 顯示發布前所有問題已解決的漏洞待辦清單
- 主要版本的滲透測試結果