TWCERTCC漏洞揭露政策.PDFVIP

TLP:WHITE TWCERT/CC 漏洞揭露政策 1.5 版 107 年 10 月 11 日 聲 明 本文件之交通燈號協議 (Traffic Light Protocol, TLP)為白色燈號 (TLP: WHITE) ，無揭露限制， 為可對外公開之內容。當資訊具有最小或沒有可預見之誤用風險時 ，資料可以被標註為白色燈號 ， 透過公開發布之規則即可讓此份文件對外發布。接收方取得此份資料時 ，透過一般發布資訊之 流程 ，亦可對外公開此資訊。 TLP:WHITE TLP:WHITE 目錄 第 1 章、 簡介 1 第 2 章、 漏洞通報方式 2 第 3 章、 漏洞揭露方式 3 3.1 、 名詞定義 3 3.1.1 、 程式錯誤 (Bug) 3 3.1.2 、 漏洞 (Vulnerability) 3 3.1.3 、 漏洞緩解 (Mitigation) 3 3.1.4 、 漏洞通報者 3 3.1.5 、 產品廠商 3 3.1.6 、 通用漏洞揭露 (CVE) 3 3.1.7 、 CVE 編號 (CVE ID) 4 3.1.8 、 CVE 編號管理者 (CNA) 4 3.1.9 、 共用程式庫 (Shared Codebase) 5 3.2 、 漏洞報告公開時程 5 3.3 、 漏洞資訊揭露位置 6 3.4 、 漏洞報告處置流程 6 3.5 、 CVE 編號發放規則 7 3.5.1 、 CNT 1 ：確認Bug 數量 9 3.5.2 、 CNT 2 ：確認Bug 是否為漏洞 9 3.5.3 、 CNT 3 ：漏洞是否與共用程式庫、函式庫、協定或標準有關 9 3.5.4 、 INC 1 ：確認負責之CNA10 3.5.5 、 INC 2 ：漏洞資訊是否公開10 I TWCERT/CC 漏洞揭露政策 V1. 5 TLP:WHITE 3.5.6 、 INC 3 ：漏洞是否來自一個客戶端可控制版本的軟體11 3.5.7 、 INC 4 ：漏洞是否存在可公開存取及有合法版權之產品中11 3.5.8 、 INC 5 ：確認CVE 中無相同漏洞存在 12 3.6 、 漏洞通報者稱呼及聯繫方式公開 12 第 4 章、 連絡方式 13 第 5 章、 參考資料 14