漏洞
数字元素产品中存在的、可能被威胁行为者利用以破坏该产品或所连系统安全的 弱点。《网络弹性法》要求制造商在整个支持期内承担广泛的漏洞识别、处理和 披露义务。
来源引用
法律依据
欧盟法规2024/2847第3条(22)款将漏洞定义为:
"软件或硬件中可被威胁行为者利用的弱点。"
漏洞类型
| 类型 | 描述 |
|---|---|
| 软件漏洞 | 代码缺陷、错误配置 |
| 硬件漏洞 | 微架构缺陷、固件问题 |
| 流程漏洞 | 不安全的更新机制、缺乏认证 |
《网络弹性法》下的漏洞相关义务
制造商须:
- 确保产品上市时无已知可利用漏洞
- 在支持期内建立漏洞识别和处理政策
- 维护软件物料清单(追踪组件漏洞)
- 建立**协调漏洞披露(CVD)**政策
- 向CSIRT报告被积极利用的漏洞
- 免费提供安全更新
漏洞披露流程
- 通过内部或外部报告发现漏洞
- 验证和分析漏洞(CVSS评分等)
- 与利益相关方进行协调披露(CVD)
- 提供安全更新
- 发布CVE和公开安全公告