完整英文版 ISO/IEC 29147:2018 Information technology - Security techniques - Vulnerability disclosure(信息技术 - 安全技术 - 漏洞披露)。本文档向供应商提供有关披露产品和服务漏洞的要求和建议。漏洞披露使用户能够按照 ISO/IEC 27002:2013, 12.6.1[1] 中的规定执行技术漏洞管理。漏洞披露有助于用户保护他们的系统和数据,优先考虑防御性投资,并更好地评估风险。漏洞披露的目标是降低与利用漏洞相关的风险。当多个供应商受到影响时,协调的漏洞披露尤为重要。本文件规定:
- 接收关于潜在漏洞的报告的指南;
- 漏洞修复信息披露指南;
- 特定于漏洞披露的术语和定义;
- 漏洞披露概念的概述;
- 漏洞披露的技术和政策考虑;
- 技术、政策(附件 A)和通信(附件 B)的示例。
ISO/IEC 30111 中描述了在接收和披露漏洞报告之间发生的其他相关活动。