OBL-ART6-02Binding
确保漏洞处理流程符合基本要求(附件I 第II部分)
- 适用于
- Manufacturer
- 来源引用
- Art. 6(b)Annex I Part II
Last reviewed
通俗语言
除产品本身外,内部漏洞管理流程也必须符合特定标准。这意味着需要建立流程来 识别漏洞、及时修复漏洞、发布SBOM、维护CVD政策、共享已修复漏洞信息并分发 安全更新——不仅在开发阶段,还要贯穿上市后整个支持期。
法律文本
法规(EU)2024/2847 第6条(b)款规定,含数字元素的产品只有在制造商建立的流程 符合附件I 第II部分基本要求时,方可提供。
漏洞管理要求 — 附件I 第II部分
制造商必须建立以下流程:
- SBOM — 识别和记录漏洞及组件,包括以机器可读格式编制至少涵盖一级 依赖项的软件物料清单(SBOM)
- 及时修复 — 不无故拖延地处理和修复漏洞,包括提供安全更新
- 定期测试 — 实施有效且定期的安全测试和审查
- 披露已修复漏洞 — 在补丁可用后公开分享已修复漏洞信息
- CVD政策 — 建立并适用协调漏洞披露政策
- 便利报告 — 通过联系地址便利报告
- 安全分发更新 — 安全分发安全更新(包括自动选项)
- 免费更新 — 在整个支持期内免费提供安全更新