В современном цифровом мире нарушения кибербезопасности являются постоянной проблемой. Это руководство поможет вам начать с нуля и шаг за шагом научиться сообщать об уязвимостях CNVD лично и стать квалифицированным охотником за уязвимостями!

Узнайте о CNVD

CNVD расшифровывается как Китайская национальная информационная Уязвимость. Библиотекой безопасности управляет Национальный центр экстренной помощи в Интернете. Это платформа для сбора, анализа и распространения информации. Уязвимость. безопасностиплатформа。существоватьCNVDСообщить об уязвимости,Это означает, что ваши выводы будут включены в базу данных национальной безопасности.,и принят соответствующими поставщиками и организациями в сфере безопасности.

Регистрация и вход

Быть в CNVD Сообщить об уязвимости, вам необходимо сначала зарегистрировать аккаунт и Авторизоваться. Это можно сделать, посетив официальный сайт CNVD. После успешной регистрации и Авторизации вы можете начать Сообщить об уязвимости Понятно。

https://www.cnvd.org.cn/user/regist

После успешного входа в систему перейдите в личный центр, чтобы изменить свою личную информацию. Поскольку его подает физическое лицо, нет необходимости заполнять информацию о рабочем подразделении. При выдаче сертификата будет использовано ваше настоящее имя.

Сообщить об уязвимости

Нажмите «Сообщить сейчас» в правом верхнем углу. об уязвимости”кнопка,Вы попадете на страницу подачи. здесь,Вам необходимо выбрать тип, к которому относится лазейки.,Разделяется на тип события и универсальный тип.

Уязвимости событийного типа относятся к уязвимостям, возникающим в одной системе, тогда как уязвимости общего назначения относятся к уязвимостям, возникающим в широко используемых системах, таких как приложения, программное обеспечение или системы.

При отправке сообщения об уязвимости вам необходимо указать соответствующую информацию, такую ​​как задействованное подразделение, провинция, в которой вы находитесь, тип затронутых объектов, название уязвимости, URL-адрес уязвимости и решение.

в то же время,Вам также необходимо загрузить вложение отчета.,Рекомендуется записывать процесс рецидива лазейки на видео.,и будетлазейки Отчетные документы и видео упакованы вZIPЗагрузите сжатый пакет вместе。您可以существовать公众号后台私聊发送лазейки Шаблон отчетаполучать。

время обзора

Для уязвимостей событийного типа время проверки не будет превышать 1 рабочий день, а задействованные подразделения будут уведомлены в течение 3 рабочих дней. Обычно ошибки архивируются в течение недели.

Для общих уязвимостей время проверки зависит от условий повторения, но время уведомления производителя не будет превышать 5 рабочих дней. Цикл утилизации будет определяться в зависимости от сложности утилизации и ситуации с восстановлением. Обычно требуется месяц или больше, чтобы заархивировать квалифицированные общие уязвимости и выдать им сертификат.

Подробную информацию см.Исходный процесс проверки и обработки уязвимостей CNVD[1]

Условия выдачи сертификата

Для общих уязвимостей оплаченный капитал разработчика должен быть не менее 50 миллионов, а система должна иметь не менее 10 случаев повторения. При отправке отчета об уязвимости необходимо убедиться, что каждый случай повторения подробно зафиксирован и записан в отчет об уязвимости, чтобы гарантировать выполнение условий выдачи сертификата.

Уязвимости событийного типа включают в себя уязвимости событийного типа высокого риска в партийных и правительственных учреждениях, важных отраслевых подразделениях, научно-исследовательских институтах, а также важных предприятиях и учреждениях (таких как China Mobile, China Unicom, China Telecom и China Tower).

Если вы не получили сертификат в течение двух недель после регистрации уязвимости, вам следует отправить электронное письмо на адрес vreport@cert.org.cn и указать номер уязвимости для запроса.

Срок начисления баллов

В архиве лазейки,лазейки Баллы будут распределены в течение двух недель. Обычно,Баллы, выдаваемые предприятием лазейки, составляют 1,5.,Высокий риск лазейки обычно составляет 2,04.,А серьезные лазейки - это вообще 3 балла. Выдаваемые баллы начисляются в зависимости от степени проверки и характера подразделения.,具体Подробную информацию см.«Оригинальные правила оценки уязвимостей CNVD» [2]объявление。

Исходные точки уязвимости не относятся к точкам внутреннего пользователя, которые многие путают вначале. Фактически, вы можете просмотреть исходные оценки ошибок, щелкнув строку меню.

Обменяйте баллы на награды

После получения исходных точек уязвимости платформа CNVD будет публиковать объявления об обмене очков примерно раз в месяц. Награды в виде очков будут распределяться партиями в зависимости от значения вашей чести. Количество ограничено, и вы можете зайти в торговый центр CNVD Points Mall, чтобы обменять его.

Заключение

В процессе анализа уязвимостей обязательно соблюдайте соответствующие положения Закона о кибербезопасности. Своевременное обнаружение уязвимостей и сообщение об них являются важными мерами обеспечения сетевой безопасности, и мы всегда должны помнить об этой ответственности.

Ссылки

[1]

Исходный процесс проверки и обработки уязвимостей CNVD: https://www.cnvd.org.cn/webinfo/show/3933

[2]

Оригинальные правила оценки уязвимостей CNVD: https://www.cnvd.org.cn/webinfo/show/3932