5.3 漏洞驗證

在漏洞驗證階段，要求如下:

a) 若由與該漏洞相關聯的提供者或網絡運營者進行驗證:

———應及時對漏洞的存在性、等級、類別等進行技術驗證，向漏洞報告者發送漏洞報告接收確 認或反饋，可聯合漏洞報告者等對漏洞進行驗證;

———如果該漏洞涉及其他提供者或網絡運營者，應及時通知相關提供者或網絡運營者共同進 行驗證;

———應客觀地對漏洞信息進行驗證和確認，不應對漏洞報告者等進行誤導;

——— 在漏洞驗證后，應根據漏洞驗證情況并依據GB/T 28458 - 2020 中 5.3 的要求對漏洞進行描述，同時將驗證結果反饋給漏洞報告者，也可反饋給漏洞應急組織等;

———如果被報告的漏洞是在提供者或網絡運營者目前不提供支持的產品或服務中發現的，提 供者或網絡運營者應繼續完成調查和漏洞驗證，并確認該漏洞對其他支持的產品或在線服務的影響。

b) 若由漏洞收錄組織進行驗證:

———確認漏洞接收后應及時協調對漏洞信息的驗證，協調方式可包括:告知與漏洞相關的產品 或服務的提供者進行驗證和確認;與該漏洞相關聯的提供者或者網絡運營者共同進行驗 證和確認;聯合漏洞報告者共同進行漏洞信息的驗證和確認;

———應客觀、真實地反映漏洞情況，不應對與該漏洞相關聯的提供者或網絡運營者、漏洞報告 者等進行誤導;

———驗證完成后應及時通知與該漏洞相關聯的提供者或網絡運營者。

c) 若由漏洞應急組織進行驗證:

———確認漏洞接收后應及時協調對漏洞信息的驗證，協調方式可包括:告知與漏洞相關的產品 或服務的提供者進行驗證和確認;與該漏洞相關聯的提供者或網絡運營者共同進行驗證 和確認;

———驗證完成后應及時通知與該漏洞相關聯的提供者或網絡運營者。

d) 在漏洞驗證過程中發生如下情況時，可以終止后續的漏洞管理階段，并給予漏洞報告者反饋:

———重復漏洞:該漏洞是個已重復的漏洞，已解決或已修復的漏洞;

———無法驗證漏洞:該漏洞是提供者、網絡運營者、漏洞收錄組織等無法驗證的漏洞;

———無危害漏洞:該漏洞是一個無安全影響，或無法被現有技術利用的漏洞;

注:漏洞利用方法可能隨著新的技術或攻擊方法的出現而改變，提供者及網絡運營者宜時刻保持對當前漏洞攻擊 手段的了解。

———該漏洞所存在的產品或服務均已超過規定期限以及當事人約定的期限，法律法規另有規 定的除外。