12.3 脆弱性掃描

12.3.1一般要求

云服務商應：

a）使用脆弱性掃描工具和技術，按照[賦值：云服務商定義的頻率]對云計算平臺及應用程序進行脆弱性掃描，并標識和報告可能影響該平臺或應用的新漏洞。

b）根據風險評估或脆弱性掃描結果，在[賦值：云服務商定義的響應時間段]內修復漏洞。

c）在本組織范圍內與[賦值：云服務商定義的人員或角色]共享脆弱性掃描和安全評估過程得到的信息，以及時消除其他系統中的類似漏洞。

12.3.2增強要求

云服務商應：

a）確保所使用的脆弱性掃描工具具有迅速更新漏洞庫的能力。

b）按[選擇：[賦值：云服務商定義的頻率]；啟動新的掃描前；新的漏洞信息發布后]更新漏洞庫。

c）確保所使用的脆弱性掃描工具能夠清楚呈現掃描所覆蓋的廣度和深度（如已掃描的信息系統組件和已核查的漏洞）。

d）在脆弱性掃描活動中，使用特權賬號對[賦值：云服務商定義的信息系統組件]進行[賦值：云服務商定義的脆弱性掃描行動]，以實施更全面的掃描。

e）使用自動機制比較不同時間的脆弱性掃描結果，以判斷漏洞趨勢。