OBL-ART13-07Binding
建立並公布協調漏洞揭露(CVD)政策
- 適用於
- Manufacturer
- 來源引用
- Art. 13(7)Annex I Part II §1
Last reviewed
通俗語言
您必須發布一個明確的安全漏洞回報流程。提供電子郵件或網路表單供回報使用。說明您的回覆 速度。解釋您在公開修復方案之前將如何與回報者協作。在您網站根目錄放置一個security.txt 文件是通常的做法。
法律條文
《歐盟法規》(EU) 2024/2847 第13條第(7)款和附件I第II部分第1條要求製造商:
- 識別並記錄產品中包含的漏洞和元件
- 制定協調漏洞揭露政策
- 採取措施促進潛在漏洞資訊的共享
CVD政策必須可公開取得,使外部回報者能夠找到它。
主要要求
- 公開的CVD政策 — 在您的網站上發布且可被發現
- 安全聯絡點 — 專用電子郵件地址或網路表單供漏洞回報使用
(例如
security@example.com) security.txt文件 — 依據RFC 9116在/.well-known/security.txt發布, 使聯絡方式可被機器發現- 確認承諾 — 說明確認收訊的時間框架 (ENISA建議≤5個工作日)
- 揭露時間表 — 說明協調揭露流程,包括如何處理與研究人員之間的禁令期
- 範疇聲明 — 說明政策涵蓋哪些產品和版本
建議的CVD政策要素
根據ENISA的CVD指南和CRA附件I第II部分:
- 聯絡地址和首選聯絡方式
- 用於加密提交的PGP/S/MIME金鑰(建議)
- 支援的回報語言
- 確認時間框架
- 預期的修復更新時間表
- 揭露協調流程(禁令期、研究人員署名、CVE分配)
- 善意研究人員的安全港聲明
可能需要的證據
- 已發布的CVD政策(URL)
/.well-known/security.txt文件- 漏洞接收記錄(保密——不需公開)
- 收到的回報及其處理方式的記錄