之前打算申請個CNVD的原創漏洞證書。經過這一個多月的時間證書還沒有下來,現在簡單總結一下。
原創漏洞審覈和處理流程參考此鏈接:http://www.cnvd.org.cn/webinfo/show/3933
然後我就說說我提交過兩個後臺的文件上傳漏洞
7.26提交-7.27二審通過,驗證通過-9.4三審通過,漏洞歸檔-9.9漏洞公開
我在想漏洞公開了,怎麼證書也應該下來了,我這個通用型的漏洞評分7.0,也超過要求的4.0以上。
然後我就去CNVD諮詢
感謝您對CNVD的支持,對於通過CNVD歸檔的原創漏洞,只頒發(1)對於中危及中危以上通用型漏洞(CVSS2.0基準評分超過4.0分)(除小廠商的產品、黑盒測試案例不滿10起等不頒發證書),(2)涉及電信行業單位(中國移動、中國聯通、中國電信及中國鐵塔公司)和中央部委級別(不含直屬事業單位)的高危事件型漏洞,CNVD將給予原創漏洞證明(即CNVD漏洞證書,電子版),該證明可通過編號在CNVD官方網站進行查詢跟蹤。
時限要求:按周對上一週歸檔漏洞且滿足證書頒發條件的進行批量製作。
我這個已經超過到歸檔第二週了,理論上應該下來了。然而並沒有,所以可能是因爲是小廠商導致被排除發證書。我這個是下載源碼進行本地代碼審計找到的漏洞。
9.13 證書下來了。