确保投放市场时不含已知可利用漏洞

《欧盟法规（EU）2024/2847》第13条第6款及附件I第I部分第3条要求，制造商在将含数字元素的产品投放市场时，应确保产品不含任何已知可利用漏洞。

本义务适用于：

• 首次投放市场时
• 向用户提供的每个后续软件更新

1. 发布前漏洞扫描——在每次发布前进行SCA和SAST检查
2. CVE/EUVD检查——针对国家漏洞数据库（NVD）、欧盟漏洞数据库（EUVD）及相关公告源，核查所有组件（自研和第三方）
3. 不发布CVSS严重级别漏洞——除非有文件记录的、有时限的风险接受决定，否则不得在存在已知严重或高危可利用漏洞的情况下发布
4. 更新流水线检查——向用户推送的每个安全更新和功能发布同样须通过无已知漏洞的门控
5. 发布时存档记录——保留每个发布版本的漏洞状态评估记录作为证据

"已知可利用"是指已发布CVE或等效公告且在产品实际部署场景中存在可行利用路径的漏洞。在正常使用中无法被触发的理论性或高度条件性风险，依据风险相称性原则进行评估。

• 每次发布的SCA和SAST扫描报告
• 每次发布日期的CVE/EUVD数据库查询记录
• 风险接受记录（针对已接受的残余风险）
• 证明所有问题在发布前已解决的漏洞积压记录
• 主要版本的渗透测试结果