在整个支持期内处理和修复漏洞

《欧盟法规（EU）2024/2847》第13条第10款结合附件I第II部分要求，制造商应有效处理漏洞。该附件规定了以下具体要求：

附件I第II部分——漏洞处置要求：

1. 识别并记录产品中的漏洞和组件（SBOM）
2. 及时处理漏洞，处理速度与风险相称
3. 应用有效且定期的安全更新
4. 使用CVE标识符（来自CVE编号机构）标识漏洞
5. 发布已修复漏洞的信息，包括CVSS评分
6. 采用协调漏洞披露政策
7. 便于第三方报告漏洞
8. 应要求向CSIRT网络和ENISA共享漏洞信息

1. 漏洞管理流程——记录在案的接收、分类、修复和披露工作流
2. 及时修复——响应时间与CVSS评分和可利用性相称
3. CVE分配——从CVE编号机构（CNA）获取CVE编号；ENISA担任CRA相关CVE的欧盟CNA
4. CVSS评分——在安全公告中发布CVSS（v3.1或更高版本）评分
5. 安全公告——为所有已修复漏洞发布公告
6. 停止支持通知——在支持终止前不迟于12个月通知用户，以便其做出替代安排

• 漏洞管理政策和SLA目标（按严重性分级的修复时限）
• 漏洞跟踪器或积压记录
• CVE分配记录
• 包含CVSS评分的已发布安全公告
• 停止支持通知记录