协调漏洞披露(CVD)
漏洞发现者、受影响产品制造商及其他相关方通过协调合作处理漏洞,并在修复 方案可用后方公开披露漏洞的流程。《网络弹性法》要求制造商建立CVD政策,并 使受影响的制造商能够在公开披露前修复其漏洞。
来源引用
法律依据
欧盟法规2024/2847附件一第二部分第5项要求:
"按照欧盟委员会决议实施的协调漏洞披露政策……"
CVD流程
- 漏洞发现——研究人员或用户发现漏洞
- 私下报告——向制造商报告,不公开披露
- 修复开发——制造商开发并测试补丁
- 协调披露时间表——双方就公开发布时间达成一致(通常为90天)
- 公开披露——同步发布安全公告和补丁
制造商义务
在《网络弹性法》框架下,制造商须:
- 提供专用漏洞报告渠道(联系方式)
- 制定并发布CVD政策
- 在CVD流程中与研究人员积极配合
- 在支持期内发布安全更新
CVD与负责任披露
「协调漏洞披露」与「负责任披露」是同一概念的不同表述方式,二者均指在修复 可用之前优先向厂商私下报告漏洞的原则。