注意!安全漏洞不能随意发布!
注意!安全漏洞不能随意发布!
原创 JUN哥 君说安全 2025-01-07 07:24
❤*
请点击上方
⬆
⬆
⬆
关注*君说安全!❤
“
从事漏洞研究或渗透测试是技术能力的体现没错,但是也要注意合法和合规。”
今天,网络安全圈炸了,爆出了一个大瓜!这个瓜,涉及广大安全技术研究人员。
技术分享是人的正常心理,笔者认为是好事情。但是技术分享的前提是合法合规,而不是违规公布相关漏洞。
这不,圈内今天都在传《漏洞文库》公众号因违规披露某企业安全产品漏洞,导致某企业被打穿,因此该公众号已被注销,作者也被请去喝茶了!
2021年7月12日,
工业和信息化部
、
国家互联网信息办公室
、
公安部
联合印发通知,公布了《网络产品安全漏洞管理规定》(以下简称漏洞管理规定),自2021年9月1日起施行。
漏洞管理规定,
对于从事漏洞发现、收集、发布等活动的组织和
个
人
,
在未经明确经过评估协商,不可提前披露产品漏洞、不得发布网络运营者漏洞细节,不得将未公开漏洞提供给产品提供者之外的境外组织或者个人。
网络产品的漏洞信息可能会通过网站、新闻、会议这些渠道在社会上传得很快,这会影响到很多正常网络用户的利益,因此
有必要采取措施防止风险扩大或者避免损害发生。
另外,《规定》明确对漏洞收集平台实行备案管理,由工业和信息化部对通过备案的漏洞收集平台予以公布,并要求漏洞收集平台采取措施防范漏洞信息泄露和违规发布。
个人公众号因在不属于漏洞收集平台范围,也不属于漏洞披漏平台范围,因此各位从事漏洞研究的小伙伴,还是长点心吧,别在为了那点点虚荣心在分享类似的事情的。
还有,从事漏洞研究或渗透测试是技术能力的体现没错,但是也要注意合法和合规,一定要有合法授权,同时也要注意保密工作。客户请你们来做风险评估的,可不是来让你们把漏洞进行随意披漏的!
最后附上
安全产品漏洞的发布要求,诸君谨记!
特别说明:《网络产品安全漏洞管理规定》属于行政法规,
行政法规是由
国务院
根据
宪法
和法律制定的规范性文件,具有法律约束力。
行政法规发布形式包括条例、办法、实施细则等,其效力仅次于宪法和法律,是行政管理活动的重要依据。
违反行政法规的行为将承担相应的法律责任,这些责任可能包括警告、罚款、没收违法所得、责令停产停业、吊销许可证或执照等。
具体处罚措施会根据违法行为的性质、情节以及社会危害程度等因素来确定。
免责声明:
本文相关素材均来自互联网,仅为传递信息之用。如有侵权,请联系作者删除。
-End-★
关注,在看,转发,设为星标
★
,与你
一起分享
网络安全职场故事。