OBL-ART13-07Binding
建立并发布协调漏洞披露(CVD)政策
- 适用于
- Manufacturer
- 来源引用
- Art. 13(7)Annex I Part II §1
Last reviewed
通俗语言
您必须发布清晰的安全漏洞报告流程。提供用于报告的电子邮件或网页表单,说明回复时限,并解释在公开修复方案之前您将如何与报告者协作。通常做法是在网站根目录发布security.txt文件。
法律文本
《欧盟法规(EU)2024/2847》第13条第7款及附件I第II部分第1条要求,制造商应:
- 识别并记录产品中的漏洞和组件
- 制定协调漏洞披露政策
- 采取措施促进潜在漏洞相关信息的共享
CVD政策必须公开发布,以便外部报告者能够找到。
主要要求
- 公开的CVD政策——在您的网站上发布且易于被发现
- 安全联系渠道——提供专用电子邮件地址或漏洞报告网页表单(例如
security@example.com) security.txt文件——按照RFC 9116在/.well-known/security.txt发布,使联系方式可被机器发现- 确认承诺——声明确认收到报告的时限(ENISA建议不超过5个工作日)
- 披露时间表——说明协调披露流程,包括与研究人员的禁令期管理方式
- 适用范围声明——说明该政策覆盖哪些产品和版本
推荐的CVD政策要素
根据ENISA的CVD指南和CRA附件I第II部分:
- 联系地址及首选联系方式
- 用于加密提交的PGP/S/MIME密钥(建议)
- 支持的报告语言
- 确认时限
- 修复更新的预期时间表
- 披露协调流程(禁令期、研究人员致谢、CVE分配)
- 针对善意研究人员的安全港声明
可能需要的证据
- 已发布的CVD政策(URL)
/.well-known/security.txt文件- 漏洞接收日志(保密——无需公开)
- 已收到报告及处理方式的记录