OBL-ART6-02Binding
確保漏洞處理流程符合基本要求(附件I 第II部分)
- 適用於
- Manufacturer
- 來源引用
- Art. 6(b)Annex I Part II
Last reviewed
通俗語言
除產品本身外,內部漏洞管理流程也必須符合特定標準。這意味著需要建立流程來識別 漏洞、及時修復漏洞、發布SBOM、維護CVD政策、共享已修復漏洞資訊並發布安全更新 ——不僅在開發階段,還要貫穿上市後整個支援期。
法律文本
法規(EU)2024/2847 第6條(b)款規定,含數位元素的產品僅在製造商建立的流程符合 附件I 第II部分基本要求時,方可提供。
漏洞管理要求 — 附件I 第II部分
製造商必須建立以下流程:
- SBOM — 識別和記錄漏洞及元件,包括以機器可讀格式編制至少涵蓋一級 相依性的軟體物料清單(SBOM)
- 及時修復 — 不無故拖延地處理和修復漏洞,包括提供安全更新
- 定期測試 — 實施有效且定期的安全測試和審查
- 揭露已修復漏洞 — 在修補程式可用後公開分享已修復漏洞資訊
- CVD政策 — 建立並適用協調漏洞揭露政策
- 便利通報 — 透過聯絡地址便利通報
- 安全發布更新 — 安全發布安全更新(包括自動選項)
- 免費更新 — 在整個支援期內免費提供安全更新