CNVD原创漏洞审核和处理流程

一、CNVD原创漏洞审核归档和发布主流程

(一)审核和归档流程

审核流程分为一级、二级、三级审核,其中一级审核主要对提交的漏洞信息完整性进行审核,漏洞符合可验证(通用型漏洞有验证代码信息或多个互联网实例、事件型漏洞有验证过程和相关截图)、描述准确(不存在虚假信息)即可通过一级审核;二级审核为CNVD对漏洞的信息整理,对于漏洞标题以及描述情况进行初步核对整理;三级审核为CNVD对漏洞进行有效性和原创性核验的环节,有效性核验即复现漏洞相关情况或在不具备复现环境的情况下转交对口厂商复现,原创性核验则是CNVD根据已收录漏洞信息及互联网已公开漏洞信息进行查重比对。

通过上述三级审核之后,确认漏洞存在且认定具备原创性则进行CNVD归档。在归档环节,CNVD秘书处主要进行漏洞的中文规范化收录整理以及对漏洞危害进行评价(CNVD采用CVSS2.0评价标准)。

时限要求:对于事件型漏洞,到归档时间一般不超过2个工作日。对于通用软硬件漏洞,到归档时间一般不超过5个工作日。对于一些无法具备复现条件需要由厂商确认的,以厂商反馈时间为准,在厂商未反馈或拒绝反馈之前,CNVD秘书处也将自行开展评估工作,加快归档流程。

(二)发布流程

目前,CNVD暂不发布事件型漏洞信息,仅通过CNVD网站首页“绵羊墙”功能对已经完成通报处置流程的涉事单位系统或软硬件产品进行公示。对于通用软硬件漏洞,CNVD遵循处置后发布原则(与厂商补丁发布时间同步)或未反馈情况下默认45天后发布描述信息(暂不公开利用代码信息)。另外,根据CNVD参与签署的《中国互联网协会漏洞信息披露和处置自律公约》,对于需要较长周期的漏洞处置工作,涉事厂商可与CNVD秘书处协商漏洞发布时间。

二、CNVD原创漏洞验证和处置支线流程

(一)事件型漏洞验证和处置流程

CNVD以可复现为基准,同时在复现过程中恪守国家法律和有关部门规定,不执行可能对信息系统机密性、可用性、完整性造成破坏性的验证操作。CNVD依托国家上级信息安全协调机构、CNCERT国家中心、CNCERT各分中心的处置协作渠道,积极协调通报涉及党政机关、重要行业单位以及企事业单位的漏洞风险。

时限要求:事件型漏洞验证不超过1个工作日,通报到涉事单位时间不超过3个工作日。

(二)通用软硬件漏洞验证和处置流程

对于通用软硬件漏洞的验证和处置CNVD主要根据《中国互联网协会漏洞信息披露和处置自律公约》规定的厂商以及漏洞应急组织相关责任和义务,强调厂商的主动响应以及漏洞库组织(CNVD)的技术协助。CNVD对通用漏洞进行核验后将直接通过已有联系渠道或公开联系渠道向产品厂商通报,并要求其在5个工作日内反馈是否有补丁(含临时解决方案)或是否已经着手应急处置事项。

对于有可能造成大规模攻击威胁(如:涉及大量党政机关和重要行业单位用户),CNVD要求厂商采取主动响应原则,依托技术手段和市场渠道主动完成用户的防护工作。同时,CNVD也可协助厂商开展全网安全评估和全局应急响应,提供受影响用户列表相关情况。必要时,CNVD将组织专项行动进行漏洞的全网处置。

时限要求:通用型漏洞验证取决于复现条件,通报到厂商时间不超过5个工作日。对于处置周期,视处置难度和修复情况而定。

三、CNVD原创漏洞证书和奖金积分支线流程

对于通过CNVD归档的原创漏洞,CNVD将对漏洞进行原创漏洞奖金积分评分。积分评定具体参见《CNVD原创漏洞积分评分细则》。

时限要求:在漏洞归档后1个工作日内。

对于中危及中危以上通用型漏洞(CVSS 2.0基准评分超过4.0分),以及涉及党政机关、重要行业单位、科研院所、重要企事业单位(如:中央国有大型企业、部委直属事业单位等)的高危事件型漏洞(后续对事件型漏洞证明颁发标准将参考中央网信办颁布的关键基础设施相关定义和分类),CNVD将给予原创漏洞证明(即CNVD漏洞证书,电子版),该证明可通过编号在CNVD官方网站进行查询跟踪。

时限要求:按周对上一周归档漏洞且满足证书颁发条件的进行批量制作。

CNVD公告地址: 

https://www.cnvd.org.cn/webinfo/show/3933 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/226699.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Tekton

一. 概念 Tekton 官网 Github Tekton 是一种用于构建 CI/CD 管道的云原生解决方案,它由提供构建块的 Tekton Pipelines,Tekton 作为 Kubernetes 集群上的扩展安装和运行,包含一组 Kubernetes 自定义资源,这些资源定义了您可以为…

Ubuntu 20.04使用Livox Mid-360

参考文章: Ubuntu 20.04使用Livox mid 360 测试 FAST_LIO-CSDN博客 一:Livox mid 360驱动安装与测试 前言: Livox mid360需要使用Livox-SDK2,而非Livox-SDK,以及对应的livox_ros_driver2 。 1. 安装Livox-SDK2 参…

java SSM课程平台系统myeclipse开发mysql数据库springMVC模式java编程计算机网页设计

一、源码特点 java SSM课程平台系统是一套完善的web设计系统(系统采用SSM框架进行设计开发,springspringMVCmybatis),对理解JSP java编程开发语言有帮助,系统具有完整的源代码和数据库,系统主要采用B/S…

RHCE9学习指南 第11章 网络配置

11.1 网络基础知识 一台主机需要配置必要的网络信息,才可以连接到互联网。需要的配置网络信息包括IP,子网掩码,网关和DNS。 11.1.1 IP地址 在计算机中对IP的标记使用的是32bit的二进制,例如, 11000000 10101000 00…

Linux上管理不同版本的 JDK

当在 Linux 上管理不同版本的 JDK 时,使用 yum 和 dnf 可以方便地安装和切换不同的 JDK 版本。本文将介绍如何通过这两个包管理工具安装 JDK 1.8 和 JDK 11,并利用软连接动态关联这些版本。 安装 JDK 1.8 和 JDK 11 使用 yum 安装 JDK 1.8 打开终端并…

基于Wenet长音频分割降噪识别

Wenet是一个流行的语音处理工具,它专注于长音频的处理,具备分割、降噪和识别功能。它的长音频分割降噪识别功能允许对长时间录制的音频进行分段处理,首先对音频进行分割,将其分解成更小的段落或语音片段。接着进行降噪处理&#x…

循环冗余效验码的计算方法

循环冗余效验码的计算方法 G(x): 在了解计算方法之前我们首先要明白G(x)表明的意思,这一步非常重要! 例如,G(x) x^3 x^2 1 ,该式子表明的编…

Redis实现日榜|直播间榜单|排行榜|Redis实现日榜01

前言 直播间贡献榜是一种常见的直播平台功能,用于展示观众在直播过程中的贡献情况。它可以根据观众的互动行为和贡献值进行排名,并实时更新,以鼓励观众积极参与直播活动。 在直播间贡献榜中,每个观众都有一个对应的贡献值&#…

【NI-RIO入门】理解Windows、Real Time与FPGA之间数据通信的原理

于NI kb摘录 1.概述 对于NI RIO系列设备(CompactRIO、sbRIO、myRIO等)进行编程时,需要注意有三个不同的组件。 人机界面 (HMI) 。有时称为“主机”,为用户提供图形用户界面(GUI),用于监控系统…

阿里云数据库polardb怎么收费?

阿里云数据库PolarDB租用价格表,云数据库PolarDB MySQL版2核4GB(通用)、2个节点、60 GB存储空间55元5天,云数据库 PolarDB 分布式版标准版2核16G(通用)57.6元3天,阿里云百科aliyunbaike.com分享…

搭建flink集群 —— 筑梦之路

Apache Flink 是一个框架和分布式处理引擎, 用于在无边界和有边界数据流上进行有状态的计算。 Flink 能在所有常见集群环境中运行,并能以内存速度和任意规模进行计算。 Flink并没有依靠自身实现所有分布式系统需要解决的问题, 而是在已有集群…

基于 Vue3 和 WebSocket 实现的简单网页聊天应用

首先附上项目介绍,后面详细解释技术细节 1. chat-websocket 一个基于Vue3和WebSocket的简易网络聊天室项目,包括服务端和客户端部分。 项目地址 websocket-chat 下面是项目的主要组成部分和功能: 项目结构 chat-websocket/ |-- server/ # WebSocket 服…

蓝桥杯c/c++程序设计——冶炼金属

冶炼金属 问题描述 小蓝有一个神奇的炉子用于将普通金属 O 冶炼成为一种特殊金属 X。这个炉子有一个称作转换率的属性 V,V 是一个正整数,这意味着消耗 V 个普通金属 O 恰好可以冶炼出一个特殊金属 X,当普通金属 O 的数目不足 V 时&#xff0…

Linux习题1

解析:Tcsh是csh的增强版,并且完全兼容csh。它不但具有csh的全部功能,还具有命令行编辑、拼写校正、可编程字符集、历史记录、作业控制等功能。 AWK是一种优良的文本处理工具,Linux及Unix环境中现有的功能最强大的数据处理引擎之一…

C++ Qt开发:SqlRelationalTable关联表组件

Qt 是一个跨平台C图形界面开发库,利用Qt可以快速开发跨平台窗体应用程序,在Qt中我们可以通过拖拽的方式将不同组件放到指定的位置,实现图形化开发极大的方便了开发效率,本章将重点介绍SqlRelationalTable关联表组件的常用方法及灵…

纯CSS实现马里奥效果,回忆一下童年吧

📢 鸿蒙专栏:想学鸿蒙的,冲 📢 C语言专栏:想学C语言的,冲 📢 VUE专栏:想学VUE的,冲这里 📢 CSS专栏:想学CSS的,冲这里 &#x1f4…

【Filament】立方体贴图(6张图)

1 前言 本文通过一个立方体贴图的例子,讲解三维纹理贴图(子网格贴图)的应用,案例中使用 6 张不同的图片给立方体贴图,图片如下。 读者如果对 Filament 不太熟悉,请回顾以下内容。 Filament环境搭建绘制三角…

安装 PyQt5 保姆级教程

作者:billy 版权声明:著作权归作者所有,商业转载请联系作者获得授权,非商业转载请注明出处 前言 博主之前做应用层开发用的一直是 Qt,这次尝试一下在 python 中使用 Pyqt5 模块来开发 UI 界面,这里做一些…

C语言rand函数,srand函数,time函数实现随机数,及猜数字小游戏

怀心之所爱,奔赴山河 前言 最近在复习c的知识,想起之前写过一个猜数字小游戏,所以今天就把自己关于随机数的使用经验分享一下,希望对大家有帮助。 一.rand函数 1.函数的声明如下 可以看到,返回值是int类型&#xff…

MCEWMDRMNDBootstrap.dll文件丢失,软件游戏无法启动,怎样下载修复

不少小伙伴反馈,在打开某些游戏或软件的时候,Windows会提示“MCEWMDRMNDBootstrap.dll文件丢失,软件无法启动”,不知道应该怎样办? 首先,我们先来了解“MCEWMDRMNDBootstrap.dll文件”是什么? …