5.1 漏洞發現和報告

在漏洞發現和報告階段，要求如下:

a) 對漏洞發現者的要求:

———遵循國家相關法律、法規的前提下，可通過人工或者自動化方法對漏洞進行探測、分析，并 證實漏洞存在的真實性;

———在實施漏洞發現活動時，不應對用戶的系統運行和數據安全造成影響和損害，不應有為了 發現漏洞而侵犯其他組織的業務運行和數據安全的行為;

———在識別網絡產品或服務的潛在漏洞時，應主動評估可能存在的安全風險;

———應采取防止漏洞信息泄露的有效措施。

b) 對漏洞報告者的要求:

———發現網絡或產品服務的漏洞后，應及時報告漏洞信息;

———報告漏洞時，應客觀、真實地對漏洞進行描述。