信息安全前期预警协调指南.PDFVIP

信息安全前期预警协调指南 JPCERT/CC 漏洞协调与披露政策 原文发布：JPCERT/CC 中文翻译 ：数字观星 审校 ：CNCERT/CC 观星译 是数字观星推出的长期公益翻译项目。 我们从国外众多安全厂商、咨询机构、媒体博客选取优秀的英文报告，翻译并适当排 版后，以无偿免费的形式，进行分享与传播。 现公开招募翻译志愿者，有意者请联系 contact@ ，来信请标 明 “观星译”。 免责声明 l 本报告，由北京数字观星科技有限公司（简称“数字观星”，下同），“观星译” 公益翻译项目，翻译自 JPCERT/CC 与 2018 年 4 月 27 日发布的《JPCERT/CC Pubishes Vuerabiity Crdiati ad Discsure Picy 》， 原 文 地 址 htt://bg.jcert.r.j/2018/04/jcertcc-ubishes-vuerabiity - crdiati-ad-discsure-icy.ht。 l 望尊重译者的劳动和意愿，不得以任何方式修改本译文。 l “观星译”所翻译文章内容不代表数字观星立场，译者与数字观星亦对原文和 译文的任何内容不承担任何责任。 l 译者与数字观星均与原作者与原始发布者没有联系，亦未获得相关的版权授 权，本翻译项目为无偿公益项目，无出版、发售译文等任何商业利益意图，因 此亦不对任何可能因此导致的版权问题承担责任。 l 数字观星未授权任何人士和第三方二次分享本译文，因此第三方对本译文的全 部或者部分所做的分享、传播、报道、张贴行为，及所带来的后果与数字观星 无关。 l 本译文不得用于任何商业目的，基于上述问题产生的法律责任，译者与数字观 星一律不予承担。 信息安全前期预警协调指南 -漏洞处理流程概述- n 框架建立 2004 年，为了降低计算机非法入侵以及病毒等造成的损失，确保 漏洞通报后相关信息得到妥善处理，日本经贸与工业部颁布了《软件 漏洞信息处理标准》。该标准于 2014 年完成修订，并于 2017 年升级 为《软件产品漏洞相关信息处理标准》。基于以上标准，兹建立《信 息安全前期预警协调指南》（以下简称“指南”），对相关各方行为提 *1 出建议，梳理漏洞相关信息 处理流程。需要着重声明的是，信息技 术促进局（IPA）将作为各方之间的联络机构，而日本计算机应急响 应处理协调中心（JPCERT/CC ）将作为各方之间的协调机构。以上机 构负责妥善处理所有各方的漏洞相关信息，包括漏洞发现者、软件开 发商以及 Web 服务运营者。该流程符合 ISO/IEC 29147:2014 《漏洞 披露标准》。 n 框架范围 本指南涵盖的漏洞是指，可能对公众造成大范围影响的漏洞，特 别是日本境内普遍使用的软件以及主要供日本民众访问的 web 网页 及应用程序（例如日语 web 网页，“jp”域名的地址等等）。本指南将 向相关各方简要描述如何处理漏洞相关信息。下表展示了相关方成为 信息安全前期预警协调成员后的权益。这些权益能够显著降低漏洞对 软件用户和 web 服