2016年1月18日,ENISA发布了名为Good Practice Guide on Vulnerability Disclosure. From challenges to recommendations的报告。在报告附录中,提供了一份可供机构使用的《漏洞披露政策模板》。公司可以根据实际情况对政策进行定制化修改。
来源:https://www.enisa.europa.eu/publications/vulnerability-disclosure
1.安全和漏洞披露理念
在安全问题上,我们的用户是第一位的。
[xxx]致力于快速、谨慎地修复所有报告的安全漏洞,以保护用户的安全和隐私。
2.报告漏洞

注意:回复收件确认邮件是确保安全研究人员知道贵公司已收到报告的关键。您可以选择自动发送,或者添加一个免责声明,说明您的响应时间(见模板)。
3.好报告的要素
宁缺毋滥。
请以XX语言向我们提供详细的描述和简明扼要的指导,以便于安全漏洞的再现。
(如有必要,请提供截图)。
步骤应包括:
- xxxxx
- yyyyy
- zzzzzz
4. 不符合要求的报告
不符合要求的报告:
- 登录问题和密码问题
- 拼写错误
- HTTP 404页面
- 垃圾邮件或涉嫌欺诈活动
- …
不允许的行为:
- DDoS攻击
- 暴力破解攻击
- 社会工程
- 安装恶意软件
- 对我们的系统进行任何更改(包括复制、更改和删除数据)
- 与他人共享访问权
- …
xxx@xxx.xxx 电子邮箱仅用于报告安全漏洞。如果您需要技术支持,请联系我们的支持服务台:yyy@yyy.yyy。
5. 程序步骤和时间表
- 当我们收到您的漏洞报告后,我们将采取一切必要的措施,迅速、透明地调查并解决当前的安全问题。
- 虽然我們不能按照固定的时间表提供补丁,但我们承诺在每一个步骤中都会通知您。
- 我们要求您对所有与漏洞相关的通信保密,以确保我们之间相互信任以及与我们合作发布补丁的灵活性,同时保证客户有足够的时间来部署该补丁。
- 我们将在更新的发布说明中公开宣布漏洞,并会提到报告漏洞的人,除非研究者希望匿名。