首页
社区
课程
招聘
[讨论]9月1号后的新规定,逆向和挖洞大哥们不慌吗?
发表于: 2021-8-21 21:44 13663

[讨论]9月1号后的新规定,逆向和挖洞大哥们不慌吗?

2021-8-21 21:44
13663

你们怎么看待这个?




7月13日下午消息,工业和信息化部、国家互联网信息办公室、公安部关于印发网络产品安全漏洞管理规定的通知。《通知》表明,任何组织或者个人不得利用网络产品安全漏洞从事危害网络安全的活动,不得非法收集、出售、发布网络产品安全漏洞信息;明知他人利用网络产品安全漏洞从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。

《通知》称,网络产品提供者、网络运营者和网络产品安全漏洞收集平台应当建立健全网络产品安全漏洞信息接收渠道并保持畅通,留存网络产品安全漏洞信息接收日志不少于6个月。

以下为通知全文:

工业和信息化部 国家互联网信息办公室 公安部关于印发网络产品安全漏洞管理规定的通知

工信部联网安〔2021〕66号

各省、自治区、直辖市及新疆生产建设兵团工业和信息化主管部门、网信办、公安厅(局),各省、自治区、直辖市通信管理局:

现将《网络产品安全漏洞管理规定》予以发布,自2021年9月1日起施行。

工业和信息化部 国家互联网信息办公室 公安部

2021年7月12日

网络产品安全漏洞管理规定

第一条 为了规范网络产品安全漏洞发现、报告、修补和发布等行为,防范网络安全风险,根据《中华人民共和国网络安全法》,制定本规定。

第二条 中华人民共和国境内的网络产品(含硬件、软件)提供者和网络运营者,以及从事网络产品安全漏洞发现、收集、发布等活动的组织或者个人,应当遵守本规定。

第三条 国家互联网信息办公室负责统筹协调网络产品安全漏洞管理工作。工业和信息化部负责网络产品安全漏洞综合管理,承担电信和互联网行业网络产品安全漏洞监督管理。公安部负责网络产品安全漏洞监督管理,依法打击利用网络产品安全漏洞实施的违法犯罪活动。

有关主管部门加强跨部门协同配合,实现网络产品安全漏洞信息实时共享,对重大网络产品安全漏洞风险开展联合评估和处置。

第四条 任何组织或者个人不得利用网络产品安全漏洞从事危害网络安全的活动,不得非法收集、出售、发布网络产品安全漏洞信息;明知他人利用网络产品安全漏洞从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。

第五条 网络产品提供者、网络运营者和网络产品安全漏洞收集平台应当建立健全网络产品安全漏洞信息接收渠道并保持畅通,留存网络产品安全漏洞信息接收日志不少于6个月。

第六条 鼓励相关组织和个人向网络产品提供者通报其产品存在的安全漏洞。

第七条 网络产品提供者应当履行下列网络产品安全漏洞管理义务,确保其产品安全漏洞得到及时修补和合理发布,并指导支持产品用户采取防范措施:

(一)发现或者获知所提供网络产品存在安全漏洞后,应当立即采取措施并组织对安全漏洞进行验证,评估安全漏洞的危害程度和影响范围;对属于其上游产品或者组件存在的安全漏洞,应当立即通知相关产品提供者。

(二)应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。

(三)应当及时组织对网络产品安全漏洞进行修补,对于需要产品用户(含下游厂商)采取软件、固件升级等措施的,应当及时将网络产品安全漏洞风险及修补方式告知可能受影响的产品用户,并提供必要的技术支持。

工业和信息化部网络安全威胁和漏洞信息共享平台同步向国家网络与信息安全信息通报中心、国家计算机网络应急技术处理协调中心通报相关漏洞信息。

鼓励网络产品提供者建立所提供网络产品安全漏洞奖励机制,对发现并通报所提供网络产品安全漏洞的组织或者个人给予奖励。

第八条 网络运营者发现或者获知其网络、信息系统及其设备存在安全漏洞后,应当立即采取措施,及时对安全漏洞进行验证并完成修补。

第九条 从事网络产品安全漏洞发现、收集的组织或者个人通过网络平台、媒体、会议、竞赛等方式向社会发布网络产品安全漏洞信息的,应当遵循必要、真实、客观以及有利于防范网络安全风险的原则,并遵守以下规定:

(一)不得在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息;认为有必要提前发布的,应当与相关网络产品提供者共同评估协商,并向工业和信息化部、公安部报告,由工业和信息化部、公安部组织评估后进行发布。

(二)不得发布网络运营者在用的网络、信息系统及其设备存在安全漏洞的细节情况。

(三)不得刻意夸大网络产品安全漏洞的危害和风险,不得利用网络产品安全漏洞信息实施恶意炒作或者进行诈骗、敲诈勒索等违法犯罪活动。

(四)不得发布或者提供专门用于利用网络产品安全漏洞从事危害网络安全活动的程序和工具。

(五)在发布网络产品安全漏洞时,应当同步发布修补或者防范措施。

(六)在国家举办重大活动期间,未经公安部同意,不得擅自发布网络产品安全漏洞信息。

(七)不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。

(八)法律法规的其他相关规定。


第十条 任何组织或者个人设立的网络产品安全漏洞收集平台,应当向工业和信息化部备案。工业和信息化部及时向公安部、国家互联网信息办公室通报相关漏洞收集平台,并对通过备案的漏洞收集平台予以公布。

鼓励发现网络产品安全漏洞的组织或者个人向工业和信息化部网络安全威胁和漏洞信息共享平台、国家网络与信息安全信息通报中心漏洞平台、国家计算机网络应急技术处理协调中心漏洞平台、中国信息安全测评中心漏洞库报送网络产品安全漏洞信息。

第十一条 从事网络产品安全漏洞发现、收集的组织应当加强内部管理,采取措施防范网络产品安全漏洞信息泄露和违规发布。

第十二条 网络产品提供者未按本规定采取网络产品安全漏洞补救或者报告措施的,由工业和信息化部、公安部依据各自职责依法处理;构成《中华人民共和国网络安全法》第六十条规定情形的,依照该规定予以处罚。

第十三条 网络运营者未按本规定采取网络产品安全漏洞修补或者防范措施的,由有关主管部门依法处理;构成《中华人民共和国网络安全法》第五十九条规定情形的,依照该规定予以处罚。

第十四条 违反本规定收集、发布网络产品安全漏洞信息的,由工业和信息化部、公安部依据各自职责依法处理;构成《中华人民共和国网络安全法》第六十二条规定情形的,依照该规定予以处罚。

第十五条 利用网络产品安全漏洞从事危害网络安全活动,或者为他人利用网络产品安全漏洞从事危害网络安全的活动提供技术支持的,由公安机关依法处理;构成《中华人民共和国网络安全法》第六十三条规定情形的,依照该规定予以处罚;构成犯罪的,依法追究刑事责任。

第十六条 本规定自2021年9月1日起施行。



[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 1
支持
分享
最新回复 (32)
雪    币: 299
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
2
呵呵呵呵呵呵呵呵呵呵呵呵
2021-8-21 22:26
0
雪    币: 840
活跃值: (3941)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
3
吓死我了,幸好我是菜逼。这个规定与我没啥关系。
2021-8-21 22:37
0
雪    币: 3022
活跃值: (6771)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
这是好事呀, 以后写代码可以留bug了。
2021-8-21 23:17
2
雪    币: 12502
活跃值: (3068)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
5
爱我佳鑫 这是好事呀, 以后写代码可以留bug了。
留不留也有bug。。有bug倒是没啥,及时发现就行。。
2021-8-22 00:24
0
雪    币: 3720
活跃值: (4106)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
反正我也不会写代码。
2021-8-22 06:41
0
雪    币: 1796
活跃值: (2060)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
7
如果有了过度的庇护,则少了忧患。在安乐的环境下怕是会更多人选择忽视安全——反正有法律保护,有漏洞就有呗 =。=
2021-8-22 17:56
1
雪    币: 29
活跃值: (5877)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
真正干坏事的那些人可不在意这些。马克思曾经说过,“如果有100%的利润,资本家铤而而走险;如果有200%的利润,资本家们会藐视法律;如果有300%的利润,那么资本家们便会践踏世间的一切! ”,实际上何止是资本家,任何人在巨量的利益面前都难以维持自我
2021-8-22 18:20
1
雪    币: 12502
活跃值: (3068)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
9
不吃早饭 真正干坏事的那些人可不在意这些。马克思曾经说过,“如果有100%的利润,资本家铤而而走险;如果有200%的利润,资本家们会藐视法律;如果有300%的利润,那么资本家们便会践踏世间的一切! ”,实际上何 ...
这点利益其实不多的,毁了几辈子不值得。这样说吧,被抓了你以为罚款和判刑就完了?不不不,子女和孙子孙女也影响,他们想考公考事业单位考研别想了。这还不算,最近几年,就连进去个好点的单位(比如某信,java开发的),也会有案底,进不去,哪怕你前面都过了。甚至就连去个好点的单位应聘个司机和保洁,也不行,因为他们会通过函,一查受过刑事处罚就不通过的。基本来说,并不是这一代就结束了,当自己的儿子孙子身体好或者学习好,入伍或者考研、去个好单位的时候,就知道多内疚了
2021-8-23 06:10
0
雪    币: 2278
活跃值: (12799)
能力值: ( LV12,RANK:312 )
在线值:
发帖
回帖
粉丝
10
漏洞上报即可,发现厂商漏洞上报给厂商,厂商给予一定奖励,每个大厂几乎都有SRC,以前都这样了。web的可以走量,二进制的可以刷国外的。
2021-8-23 08:26
2
雪    币: 15565
活跃值: (16922)
能力值: (RANK:730 )
在线值:
发帖
回帖
粉丝
11
个人感觉还差一些细节没有完善,对于某些内容的宽度定义不够清晰,如果能有一份权威解读就好了。反正总的原则就是有东西先上报。
2021-8-23 08:56
1
雪    币: 16495
活跃值: (2518)
能力值: ( LV9,RANK:147 )
在线值:
发帖
回帖
粉丝
12
幸好太菜了,不会挖洞
2021-8-23 09:03
0
雪    币: 30
活跃值: (48)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
13

太好了脚本小子要没脚本了,还有一堆人拿脚本getshell的也要没了。

最后于 2021-8-23 09:08 被Wx白i熊xW编辑 ,原因:
2021-8-23 09:07
0
雪    币: 188
活跃值: (373)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
提交国外的漏洞到国外的产商不就好了,国内就认为是”security”不就行了。
2021-8-23 09:52
1
雪    币: 1093
活跃值: (1222)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
哈哈
2021-8-23 20:35
0
雪    币: 3022
活跃值: (6771)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17

——

最后于 2021-8-23 21:26 被微启宇编辑 ,原因:
2021-8-23 21:24
0
雪    币: 3022
活跃值: (6771)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
白菜大哥 留不留也有bug。。有bug倒是没啥,及时发现就行。。
写代码的时候可以无视bug直接跳过只要能用不出大问题就好,反正这有法律可以帮着解决发现bug的人。
2021-8-23 21:25
0
雪    币: 12502
活跃值: (3068)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
19
爱我佳鑫 写代码的时候可以无视bug直接跳过只要能用不出大问题就好,反正这有法律可以帮着解决发现bug的人。
那样你会被你们的qa小妹堵门口的,哈哈。你一直写bug,写了整整一年,一个简单的bug还是搞不定,那真的会被开除的。虽然不违法,但是老板会和你谈话的。
2021-8-23 22:18
0
雪    币: 3022
活跃值: (6771)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
白菜大哥 那样你会被你们的qa小妹堵门口的,哈哈。你一直写bug,写了整整一年,一个简单的bug还是搞不定,那真的会被开除的。虽然不违法,但是老板会和你谈话的。

正好可以约QA小妹去饭培养感情。 老板抓着bug不放估计是钱多了烧得慌,能用不出大问题比啥都强,而且用户需求变动得比啥都快你确定每个需求的整合就没bug存在?而且只要不是啥大问题的bug对用户来说有没有bug重要?除了小部分挑刺的其实大部分人根本无法感知到软件存在bug除非是很明显的bug但这样的bug谁会真的不修复?

最后于 2021-8-24 13:44 被微启宇编辑 ,原因:
2021-8-24 13:39
0
雪    币: 424
活跃值: (992)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
21
非常期待,人手0Day的好日子要来了
2021-8-26 21:20
0
雪    币: 207
活跃值: (91)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
不会写代码,无关痛痒
2021-8-30 11:14
0
雪    币: 1068
活跃值: (1142)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
23
有自己道德标准的人永远都不会有这种恶意行径,没有道德标准的人就算有法律颁布也会想着钻法律的空子。法律只是道德的底线,如果一个人用法律作为自己的一般道德标准来约束自己,那么他一定称不上什么好人。
2021-8-30 16:27
2
雪    币: 1935
活跃值: (4180)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
24
fickle 有自己道德标准的人永远都不会有这种恶意行径,没有道德标准的人就算有法律颁布也会想着钻法律的空子。法律只是道德的底线,如果一个人用法律作为自己的一般道德标准来约束自己,那么他一定称不上什么好人。
讲得好
2021-8-30 16:46
0
雪    币: 864
活跃值: (5124)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
不怕,既然入了这行,就做好了断头的准备
2021-8-31 10:45
1
游客
登录 | 注册 方可回帖
返回
//