OBL-ART24-02Binding
通报被主动利用的漏洞和严重安全事件
- 适用于
- Open-source steward
- 来源引用
- Art. 24(2)
Last reviewed
通俗语言
如果您获悉您OSS中的某个漏洞正在被野外主动利用,或发生了影响您软件的严重安全事件,您必须及时通知相关CSIRT协调员。这比制造商在第14条下24小时报告窗口的义务要轻,但"及时"仍意味着迅速——以天计,而非以周计。CSIRT将协调响应并协助漏洞披露。
法律文本
《欧盟法规(EU)2024/2847》第24条第2款规定,开源软件管理者应及时,且在任何情况下在执行法令规定的时限内,向依据《指令(EU)2022/2555》第12条第1款被指定为协调员的CSIRT通报:
- 其管理的开源软件组件中任何被主动利用的漏洞;以及
- 对这些开源软件组件安全性产生影响的任何严重安全事件。
通报后,CSIRT应对报告的信息保密,并支持开源软件管理者按照协调漏洞披露实践披露漏洞。
主要要求
- 触发条件:主动利用——当您获悉您软件中的漏洞正在野外被主动利用时,义务即产生
- 触发条件:严重安全事件——影响软件安全属性的严重安全事件同样触发该义务
- 通报对象:CSIRT协调员——通知依据NIS 2指令第12条被指定为协调员的国家CSIRT,而非直接通知ENISA
- 及时通报——尽快通报;具体截止时限将由执行法令规定
- 保密性——CSIRT对报告信息保密,并支持协调披露
可能需要的证据
- 向CSIRT协调员发送的通报(日期、内容、方式)
- 监控和检测主动利用的内部流程
- 记录知悉时间及所采取行动的事件日志
- 协调披露时间线