5.4 漏洞處置

在漏洞處置階段，要求如下:

a) 對與該漏洞相關聯的提供者、網絡運營者的要求:

———應與相關提供者、網絡運營者協同開展漏洞處置工作，可與漏洞收錄組織、漏洞應急組織 協同開展漏洞處置工作;

———在漏洞處置過程中應進行深入分析，判斷該漏洞是否影響其他產品或服務;

———對已確認的漏洞，在考慮漏洞嚴重程度、受影響用戶的范圍、被利用的潛在影響等因素的基礎上，立即進行漏洞修復，或制定漏洞修復或防范措施;

———在發布補丁和升級版本前應進行充分嚴格的有效性和安全性測試，避免補丁衍生的應用功能和安全缺陷。對于不能通過補丁或版本升級解決的漏洞風險，應提出有效的臨時處置建議，出具指導技術說明;

———對于依據 GB/T30279—2020中6.3.3評定的技術分級為超危、高危的漏洞，若不能立即給出修復措施，應給出有效的臨時防護建議，并可聯合漏洞應急組織根據漏洞影響范圍及發展情況制定下一步處置方案和解決措施;

———應向漏洞報告者和用戶及時告知漏洞的處置措施，必要時向漏洞應急組織報告;

———應提供有效途徑和便利的條件，供用戶獲取補丁、升級版本和臨時處置建議;

———應對受影響的用戶提供必要的技術支持，支持其完成漏洞修復;

———宜調查漏洞更深層的原因，以及確定自身其他產品或服務是否有同樣或者類似的漏洞。

b) 對漏洞收錄組織的要求:

———可與漏洞應急組織及相關網絡產品提供者、網絡運營者協同開展漏洞處置工作;

———在漏洞處置過程中應保持客觀、準確的態度，及時將經過驗證的漏洞信息與該漏洞相關聯的提供者、網絡運營者、漏洞應急組織共享;

———可向與該漏洞相關聯的提供者、網絡運營者等提供漏洞處置建議及相關技術支持工作;

———應采取相應必要措施保護與被報告漏洞相關信息的安全和保密性，防止信息泄露、被他人

c) 對漏洞應急組織的要求:

———可對漏洞處置工作進行協調和監督，向相關漏洞接收者反饋漏洞歸屬、漏洞處置建議等處 理意見和結果;

———可督促與該漏洞相關聯的提供者、網絡運營者及時采取漏洞修復或者防范措施，防范因漏 洞大規模利用傳播引起的網絡安全威脅;

———可聯合與該漏洞相關聯的提供者或網絡運營者對漏洞處置情況進行持續跟蹤，根據漏洞 影響范圍及發展情況制定下一步處置方案及解決措施;

———應采取相應必要措施保護與被報告漏洞相關信息的安全，防止信息泄露、被他人利用。