CNCVE技術(shù)支撐單位計(jì)劃指南

中文漏洞知識(shí)庫(kù)（CNCVE）技術(shù)支撐單位計(jì)劃指南中文漏洞知識(shí)庫(kù)（CNCVE）技術(shù)支撐單位計(jì)劃指南版本：V1.0憑闌江蘇實(shí)驗(yàn)室科技有限公司

目錄一、 計(jì)劃介紹 3二、 計(jì)劃內(nèi)容 3三、 申請(qǐng)流程 4四、 證書維持與年度評(píng)價(jià) 4五、 聯(lián)系方式 5附件1：技術(shù)支撐單位初審貢獻(xiàn)指標(biāo) 7附件2：技術(shù)支撐單位年度支撐指標(biāo) 8

計(jì)劃介紹中文漏洞知識(shí)庫(kù)（ChineseCommonVulnerabilitiesandExposures，以下簡(jiǎn)稱“CNCVE”），是憑闌江蘇實(shí)驗(yàn)室科技有限公司（以下簡(jiǎn)稱“憑闌實(shí)驗(yàn)室”）基于公開(kāi)漏洞進(jìn)行收集、分析和評(píng)估，負(fù)責(zé)運(yùn)營(yíng)的中文信息安全漏洞知識(shí)管理平臺(tái)，旨在為全球信息安全保障提供服務(wù)。通過(guò)社區(qū)建設(shè)與運(yùn)營(yíng)，CNCVE在信息安全漏洞搜集、重大漏洞信息通報(bào)、高危漏洞安全消控等方面發(fā)揮了重大作用，為全球重要行業(yè)和關(guān)鍵設(shè)施安全保障工作提供了重要的技術(shù)支撐和數(shù)據(jù)支持。CNCVE技術(shù)支撐單位計(jì)劃主要面向全球信息安全廠商、軟硬件廠商、軟件開(kāi)發(fā)商、系統(tǒng)集成商與互聯(lián)網(wǎng)公司等，以平等自愿的原則，通過(guò)合作的方式與這些單位開(kāi)展合作。本計(jì)劃通過(guò)整合業(yè)內(nèi)資源，聯(lián)合技術(shù)支撐單位，提高重大漏洞的發(fā)現(xiàn)、分析、處置能力，進(jìn)一步助力信息安全漏洞研究、事件解讀，形成漏洞的收集、分析、處置、披露的良性機(jī)制，從而提高全球信息安全漏洞的研究水平和預(yù)警能力。CNCVE認(rèn)可的通用漏洞披露平臺(tái)包括CVE、CNVD、CNNVD、NVDB，在以上平臺(tái)獲得的原創(chuàng)漏洞證書，CNCVE予以認(rèn)可。計(jì)劃內(nèi)容本計(jì)劃主要面向全球IT公司，通過(guò)共享資源和服務(wù)，逐步形成優(yōu)勢(shì)互補(bǔ)、協(xié)同發(fā)展的技術(shù)支撐單位合作體系。技術(shù)支撐單位需要具有專業(yè)的信息安全研發(fā)團(tuán)隊(duì)和較強(qiáng)的漏洞分析能力，了解并認(rèn)同CNCVE的業(yè)務(wù)和職能，致力于和CNCVE保持積極向上的技術(shù)業(yè)務(wù)合作關(guān)系。CNCVE技術(shù)支撐單位共設(shè)置三種級(jí)別,分別是一級(jí)、二級(jí)和三級(jí)（一級(jí)為最高級(jí)別），依據(jù)技術(shù)支撐單位的公司規(guī)模、技術(shù)研究能力、貢獻(xiàn)程度等，以確定其支撐級(jí)別及其對(duì)應(yīng)的年度貢獻(xiàn)指標(biāo)。同時(shí)，伴隨技術(shù)支撐單位貢獻(xiàn)程度的變化，相應(yīng)的級(jí)別等方面也會(huì)有相應(yīng)的調(diào)整。CNCVE技術(shù)支撐單位的年度貢獻(xiàn)包括如下幾方面（具體要求見(jiàn)附件一）：(1)原創(chuàng)漏洞支撐按照CNCVE漏洞規(guī)范向CNCVE認(rèn)可的漏洞平臺(tái)提交原創(chuàng)漏洞信息，需提供漏洞平臺(tái)頒發(fā)的通用型原創(chuàng)漏洞證書，同一漏洞提交多個(gè)平臺(tái)的只算一個(gè)。(2)其他支撐與CNCVE開(kāi)展與與漏洞技術(shù)相關(guān)的驗(yàn)證研判、技術(shù)研討、漏洞報(bào)送、數(shù)據(jù)分析等合作。申請(qǐng)流程(1)申請(qǐng)階段：申請(qǐng)單位閱讀《中文漏洞知識(shí)庫(kù)（CNCVE）技術(shù)支撐單位計(jì)劃指南》，通過(guò)CNCVE網(wǎng)站（）在線提交《中文漏洞知識(shí)庫(kù)（CNCVE）技術(shù)支撐單位申請(qǐng)書》，由CNCVE對(duì)其進(jìn)行審核，初審?fù)ㄟ^(guò)后，進(jìn)入考察評(píng)估階段。(2)考察評(píng)估階段：該階段設(shè)定6個(gè)月的貢獻(xiàn)考察期，申請(qǐng)單位可在此期間向CNCVE認(rèn)可的漏洞平臺(tái)提交原創(chuàng)漏洞，并將漏洞證書上傳至CNCVE網(wǎng)站后臺(tái)，由CNCVE對(duì)申請(qǐng)單位進(jìn)行綜合評(píng)估。如果申請(qǐng)單位滿足人數(shù)要求且在申請(qǐng)日前近6個(gè)月內(nèi)已經(jīng)獲得符合數(shù)量的相關(guān)原創(chuàng)漏洞證書（以證書上的時(shí)間為準(zhǔn)），則可免于考察，直接進(jìn)入專家評(píng)審階段。(3)專家評(píng)審階段：CNCVE召開(kāi)技術(shù)支撐單位申請(qǐng)專家評(píng)審會(huì)，通過(guò)對(duì)申請(qǐng)單位提交的申請(qǐng)材料、考察期貢獻(xiàn)內(nèi)容、與CNCVE溝通配合情況等內(nèi)容進(jìn)行綜合評(píng)估和級(jí)別判定。(4)協(xié)議簽訂階段：CNCVE將評(píng)審結(jié)果通知申請(qǐng)單位，與通過(guò)評(píng)審的申請(qǐng)單位簽訂《中文漏洞知識(shí)庫(kù)（CNCVE）與技術(shù)支撐單位合作協(xié)議》。(5)證書頒發(fā)階段：CNCVE向技術(shù)支撐單位頒發(fā)證書，有效期一年。證書維持與年度評(píng)價(jià)（一）證書維持技術(shù)支撐單位證書有效期為一年。CNCVE在支撐單位有效期結(jié)束之前1個(gè)月內(nèi)對(duì)其進(jìn)行年度貢獻(xiàn)審核，根據(jù)其證書有效期內(nèi)貢獻(xiàn)情況，如滿足各級(jí)別續(xù)期要求則辦理證書續(xù)期。證書續(xù)期規(guī)則如下：1、若年度支撐貢獻(xiàn)滿足該級(jí)別的要求，等級(jí)維持不變。2、“二級(jí)”或“三級(jí)”支撐單位，若年度支撐貢獻(xiàn)達(dá)到上一級(jí)對(duì)應(yīng)的要求，可申請(qǐng)升級(jí)一個(gè)級(jí)別，經(jīng)審批通過(guò)后可辦理升級(jí)。對(duì)于貢獻(xiàn)特別突出的單位，經(jīng)批準(zhǔn)可酌情提前予以升級(jí)一個(gè)級(jí)別。3、年度支撐貢獻(xiàn)不滿足該級(jí)別的要求，則降低一個(gè)支撐等級(jí)直至取消資格（如：“一級(jí)”降為“二級(jí)”，“三級(jí)”取消資格）。4、如支撐單位在證書有效期間，有違反國(guó)家法律法規(guī)及雙方作協(xié)議的情況，CNCVE將有權(quán)取消技術(shù)支撐單位資格并撤回證書。技術(shù)支撐單位的單位名稱及注冊(cè)地址發(fā)生變化時(shí)，可向CNCVE提交《技術(shù)支撐單位信息變更申請(qǐng)表》,經(jīng)CNCVE審核通過(guò)實(shí)施證書信息變更。證書信息變更內(nèi)容不包含統(tǒng)一社會(huì)信用代碼。（二）年度評(píng)價(jià)CNCVE每年度根據(jù)技術(shù)支撐單位漏洞貢獻(xiàn)情況進(jìn)行綜合評(píng)價(jià)，對(duì)貢獻(xiàn)突出的支撐單位給予榮譽(yù)獎(jiǎng)勵(lì)。各技術(shù)支撐單位應(yīng)積極配合CNCVE貢獻(xiàn)統(tǒng)計(jì)及年度評(píng)價(jià)工作。（三）證書費(fèi)用CNCVE收取一定的證書費(fèi)用用于人工審核和專家評(píng)審，在申請(qǐng)時(shí)一并繳納。收費(fèi)標(biāo)準(zhǔn)如下：技術(shù)支撐單位級(jí)別收費(fèi)金額（元/次）三級(jí)免費(fèi)二級(jí)免費(fèi)一級(jí)免費(fèi)CNCVE每年度根據(jù)技術(shù)支撐單位漏洞貢獻(xiàn)情況進(jìn)行綜合評(píng)價(jià)，對(duì)貢獻(xiàn)突出的支撐單位給予榮譽(yù)獎(jiǎng)勵(lì)。各技術(shù)支撐單位應(yīng)積極配合CNCVE貢獻(xiàn)統(tǒng)計(jì)及年度評(píng)價(jià)工作。聯(lián)系方式聯(lián)系方式：CNCVE【網(wǎng)址】/【客服郵箱】cncve@【客服熱線】400-642-8089注：本指南自發(fā)布之日起實(shí)施，最終解釋權(quán)歸憑闌實(shí)驗(yàn)室所有。附件1：技術(shù)支撐單位初審貢獻(xiàn)指標(biāo)初審項(xiàng)目初審指標(biāo)基本信息技術(shù)支撐單位申請(qǐng)材料內(nèi)容填寫完整、真實(shí)準(zhǔn)確。技術(shù)能力單位主營(yíng)業(yè)務(wù)涵蓋信息安全行業(yè)，相關(guān)安全業(yè)務(wù)與漏洞分析挖掘密切相關(guān)，具備一定安全漏洞研究能力、安全應(yīng)急響應(yīng)能力。具備在信息安全領(lǐng)域的集成、研發(fā)或服務(wù)能力。漏洞團(tuán)隊(duì)漏洞團(tuán)隊(duì)要求：一級(jí)：人數(shù)達(dá)到20人以上,團(tuán)隊(duì)研究方向與獲得成績(jī)非常突出；二級(jí)：人數(shù)達(dá)到10人以上,團(tuán)隊(duì)研究方向與獲得成績(jī)比較突出；三級(jí)：人數(shù)達(dá)到5人以上,團(tuán)隊(duì)研究方向與獲得成績(jī)符合要求。注：提供社保證明。原創(chuàng)漏洞支撐向CNCVE認(rèn)可的漏洞平臺(tái)提交原創(chuàng)漏洞：一級(jí)：通用型漏洞不少于30個(gè)，其中高危及以上漏洞不少于3個(gè)；二級(jí)：通用型漏洞不少于15個(gè)，其中高危及以上漏洞不少于1個(gè)；三級(jí)：通用型漏洞不少于3個(gè)。注：提供原創(chuàng)漏洞證書或證明。

附件2：技術(shù)支撐單位年度支撐指標(biāo)評(píng)價(jià)項(xiàng)目評(píng)價(jià)指標(biāo)資料合規(guī)性《CNCVE技術(shù)支撐單位年度工作總結(jié)》內(nèi)容填寫真實(shí)完整，符合要求。安全合規(guī)性沒(méi)有違反相關(guān)法律法規(guī)行為。業(yè)務(wù)配合度與CNCVE溝通配合順暢，態(tài)度積極，