5.5 漏洞發布

在漏洞發布階段，要求如下:

a) 漏洞發布應遵循國家漏洞相關規定要求;

b) 在漏洞未修復或尚未制定漏洞修復或防范措施前，不應發布漏洞信息;

c) 漏洞信息涉及的目標對象、風險情況描述等相關信息應真實客觀，不應將漏洞潛在風險作為網絡攻擊事件進行發布和引導;

d) 不應發布專門用于危害網絡安全的漏洞利用程序、工具和方法;

e) 應建立漏洞發布內部審核機制，防范漏洞信息泄露和內部人員違規發布漏洞信息;

f) 若由與該漏洞相關聯的提供者或網絡運營者進行漏洞發布時，除滿足a)~e)的要求外，還應滿足:

———根據漏洞的嚴重程度，及時發布漏洞修復或者防范措施;

———通過向社會發布或者通過其他方式告知所有可能受影響的用戶。