OBL-ART13-10Binding
在整個支援期間處理並修復漏洞
- 適用於
- Manufacturer
- 來源引用
- Art. 13(10)Annex I Part II
Last reviewed
通俗語言
一旦發現安全漏洞,您必須迅速修復。修復速度取決於漏洞的嚴重程度。分配CVE識別碼。 通知使用者。發布安全說明。在整個產品支援期間執行此操作——而非僅在上市時。
法律條文
《歐盟法規》(EU) 2024/2847 第13條第(10)款與附件I第II部分一併規定,製造商應有效 處理漏洞。附件規定了以下具體要求:
附件I第II部分——漏洞處理要求:
- 識別並記錄產品中的漏洞和元件(SBOM)
- 無不當延遲地處理漏洞,與風險相稱
- 套用有效且定期的安全更新
- 使用漏洞的CVE識別符(來自CVE編號機構)
- 發布已修復漏洞的資訊,包括CVSS評分
- 採納協調漏洞揭露政策
- 便於第三方回報漏洞
- 應要求與CSIRT網路和ENISA分享漏洞資訊
主要要求
- 漏洞管理流程 — 記錄受理、分類、修復和揭露的工作流程
- 及時修復 — 回應時間與CVSS評分和可利用性相稱
- CVE分配 — 從CVE編號機構(CNA)獲取CVE識別碼;ENISA作為CRA相關CVE的 歐盟CNA運營
- CVSS評分 — 在安全公告中發布CVSS(v3.1或更新版本)評分
- 安全公告 — 為所有已修復漏洞發布公告
- 支援結束通知 — 在支援結束前不少於12個月通知使用者,使其能夠做出替代安排
可能需要的證據
- 漏洞管理政策和SLA目標(按嚴重性分類的修補時間)
- 漏洞追蹤器或待辦清單
- CVE分配記錄
- 含CVSS評分的已發布安全公告
- 支援結束通知記錄