为进一步贯彻CNVD平台共建、共享的服务宗旨,提高国内软硬件(服务)厂商修复自身产品漏洞的积极性,促进国内软硬件产品和服务的整体安全性,降低通用软硬件产品和服务漏洞对国内用户的安全威胁,同时提升CNVD漏洞信息收录的实时化更新水平,更好服务于社会。CNVD平台于今年试运行了厂商用户自主获取和更新漏洞信息功能,目前该功能已向全社会开放,使用方式公告如下。
一、厂商用户注册
厂商用户需在CNVD网站的账号注册页面完成企业用户注册。注册时选择企业用户,同时提供厂商的官方网址,并使用与网站地址域名一致的电子邮件进行快速注册。暂时无法提供上述信息的厂商用户,可先行注册个人账号,然后将加盖公章的厂商授权函扫描发送至vsupport@cert.org.cn,由CNVD平台进行审核和账号类型更改。厂商授权函需注明厂商名称、授权邮箱地址和授权时限。
二、产品服务信息注册和关联
完成企业注册并激活账号的厂商用户,可在登陆账号后,在我的产品和服务版块关联产品和服务信息。平台目前支持产品(服务)注册、产品(服务)版本信息登记和产品(服务)关键字绑定三种方式,实现厂商账号与漏洞信息的关联。产品服务和关键字信息的注册申请由CNVD工作人员核实后方可生效。
厂商完成产品和服务信息关联后,可登陆CNVD网站,在产品服务漏洞版块,实时查看CNVD平台上与产品、关键字关联的漏洞和补丁信息。并可通过账号,在我的任务版块完成CNVD平台的漏洞验证和补丁信息的维护,任务需在规定时限内按格式提交,逾期未提交的验证任务将无法编辑提交。
三、漏洞和补丁信息自助更新
如果厂商用户发现漏洞和补丁信息需要更新,可向平台发起申请,对漏洞和补丁信息进行及时更新。CNVD平台审核人员将严格依照客观、准确的原则,对漏洞信息的更新申请进行审核。审核通过后,漏洞和补丁信息将会在CNVD网站及时更新和呈现。对于恶意发起信息修改申请,经审核人员提醒仍不更改的,平台可暂停厂商账号的使用权。
为缩短漏洞处置时效,降低漏洞攻击威胁,厂商用户应加强对CNVD平台对口人的管理,如遇联系方式更换等应及时向CNVD平台报备。同时应使用强密码确保账密信息安全,对由于自身原因导致相关漏洞信息泄露或被恶意修改的由用户自行承担。