协调式漏洞披露 (CVD)
协调式漏洞披露 (CVD) 是什么?
协调式漏洞披露 (CVD)漏洞发现者、受影响厂商以及有时的协调方共同就时间表达成一致后再公开披露安全漏洞的流程。
协调式漏洞披露(CVD,通常也称负责任披露)规范了研究者如何报告漏洞、厂商如何响应。典型步骤包括:向安全联系人私下报告;厂商确认并分诊;就修复时间表达成一致(一般 60 至 90 天);发布补丁;随后发布公告并分配 CVE 编号,致谢研究者。当沟通不顺时,国家级 CERT、CISA 或 HackerOne 等平台可担任中立协调方。与完全披露相比,CVD 缩短了防御者的暴露时间,同时仍能促使厂商修复问题。有效计划需要公开的安全联系人、清晰的政策、安全港(safe harbour)条款以及切实可行的服务等级目标。
● 示例
- 01
通过 security.txt 或 PSIRT 邮箱向厂商报告漏洞,并约定 90 天的修复窗口。
- 02
在涉及多厂商的漏洞中由 CERT/CC 或国家 CSIRT 担任协调方。
● 常见问题
协调式漏洞披露 (CVD) 是什么?
漏洞发现者、受影响厂商以及有时的协调方共同就时间表达成一致后再公开披露安全漏洞的流程。 它属于网络安全的 攻击与威胁 分类。
协调式漏洞披露 (CVD) 是什么意思?
漏洞发现者、受影响厂商以及有时的协调方共同就时间表达成一致后再公开披露安全漏洞的流程。
协调式漏洞披露 (CVD) 是如何工作的?
协调式漏洞披露(CVD,通常也称负责任披露)规范了研究者如何报告漏洞、厂商如何响应。典型步骤包括:向安全联系人私下报告;厂商确认并分诊;就修复时间表达成一致(一般 60 至 90 天);发布补丁;随后发布公告并分配 CVE 编号,致谢研究者。当沟通不顺时,国家级 CERT、CISA 或 HackerOne 等平台可担任中立协调方。与完全披露相比,CVD 缩短了防御者的暴露时间,同时仍能促使厂商修复问题。有效计划需要公开的安全联系人、清晰的政策、安全港(safe harbour)条款以及切实可行的服务等级目标。
如何防御 协调式漏洞披露 (CVD)?
针对 协调式漏洞披露 (CVD) 的防御通常结合技术控制与运营实践,详见上方完整定义。
协调式漏洞披露 (CVD) 还有哪些其他名称?
常见的别称包括: CVD, 负责任披露。
● 相关术语
- attacks№ 133
漏洞赏金计划
组织正式邀请外部研究人员报告安全漏洞并根据影响支付奖励的计划。
- vulnerabilities№ 1216
漏洞
系统、应用或流程中可被攻击者利用以破坏机密性、完整性或可用性的弱点。
- vulnerabilities№ 259
CVE(通用漏洞披露)
为每个已披露的软件或硬件漏洞分配唯一标识符的公共目录,使其能在全行业被明确引用。
- forensics-ir№ 524
事件响应
针对网络安全事件进行准备、检测、分析、遏制、根除和恢复并总结经验教训的有组织流程。
- defense-ops№ 802
补丁管理
对修复漏洞或缺陷的软件更新进行识别、测试、部署和验证的端到端流程。
- defense-ops№ 1217
漏洞评估
对环境进行系统化审查,以识别、分类和优先排序安全弱点,通常不进行实际的漏洞利用。