CNCVE技術(shù)支撐單位計劃指南

中文漏洞知識庫（CNCVE）技術(shù)支撐單位計劃指南中文漏洞知識庫（CNCVE）技術(shù)支撐單位計劃指南版本：V1.0憑闌江蘇實驗室科技有限公司

目錄一、 計劃介紹 3二、 計劃內(nèi)容 3三、 申請流程 4四、 證書維持與年度評價 4五、 聯(lián)系方式 5附件1：技術(shù)支撐單位初審貢獻指標 7附件2：技術(shù)支撐單位年度支撐指標 8

計劃介紹中文漏洞知識庫（ChineseCommonVulnerabilitiesandExposures，以下簡稱“CNCVE”），是憑闌江蘇實驗室科技有限公司（以下簡稱“憑闌實驗室”）基于公開漏洞進行收集、分析和評估，負責運營的中文信息安全漏洞知識管理平臺，旨在為全球信息安全保障提供服務(wù)。通過社區(qū)建設(shè)與運營，CNCVE在信息安全漏洞搜集、重大漏洞信息通報、高危漏洞安全消控等方面發(fā)揮了重大作用，為全球重要行業(yè)和關(guān)鍵設(shè)施安全保障工作提供了重要的技術(shù)支撐和數(shù)據(jù)支持。CNCVE技術(shù)支撐單位計劃主要面向全球信息安全廠商、軟硬件廠商、軟件開發(fā)商、系統(tǒng)集成商與互聯(lián)網(wǎng)公司等，以平等自愿的原則，通過合作的方式與這些單位開展合作。本計劃通過整合業(yè)內(nèi)資源，聯(lián)合技術(shù)支撐單位，提高重大漏洞的發(fā)現(xiàn)、分析、處置能力，進一步助力信息安全漏洞研究、事件解讀，形成漏洞的收集、分析、處置、披露的良性機制，從而提高全球信息安全漏洞的研究水平和預警能力。CNCVE認可的通用漏洞披露平臺包括CVE、CNVD、CNNVD、NVDB，在以上平臺獲得的原創(chuàng)漏洞證書，CNCVE予以認可。計劃內(nèi)容本計劃主要面向全球IT公司，通過共享資源和服務(wù)，逐步形成優(yōu)勢互補、協(xié)同發(fā)展的技術(shù)支撐單位合作體系。技術(shù)支撐單位需要具有專業(yè)的信息安全研發(fā)團隊和較強的漏洞分析能力，了解并認同CNCVE的業(yè)務(wù)和職能，致力于和CNCVE保持積極向上的技術(shù)業(yè)務(wù)合作關(guān)系。CNCVE技術(shù)支撐單位共設(shè)置三種級別,分別是一級、二級和三級（一級為最高級別），依據(jù)技術(shù)支撐單位的公司規(guī)模、技術(shù)研究能力、貢獻程度等，以確定其支撐級別及其對應(yīng)的年度貢獻指標。同時，伴隨技術(shù)支撐單位貢獻程度的變化，相應(yīng)的級別等方面也會有相應(yīng)的調(diào)整。CNCVE技術(shù)支撐單位的年度貢獻包括如下幾方面（具體要求見附件一）：(1)原創(chuàng)漏洞支撐按照CNCVE漏洞規(guī)范向CNCVE認可的漏洞平臺提交原創(chuàng)漏洞信息，需提供漏洞平臺頒發(fā)的通用型原創(chuàng)漏洞證書，同一漏洞提交多個平臺的只算一個。(2)其他支撐與CNCVE開展與與漏洞技術(shù)相關(guān)的驗證研判、技術(shù)研討、漏洞報送、數(shù)據(jù)分析等合作。申請流程(1)申請階段：申請單位閱讀《中文漏洞知識庫（CNCVE）技術(shù)支撐單位計劃指南》，通過CNCVE網(wǎng)站（）在線提交《中文漏洞知識庫（CNCVE）技術(shù)支撐單位申請書》，由CNCVE對其進行審核，初審通過后，進入考察評估階段。(2)考察評估階段：該階段設(shè)定6個月的貢獻考察期，申請單位可在此期間向CNCVE認可的漏洞平臺提交原創(chuàng)漏洞，并將漏洞證書上傳至CNCVE網(wǎng)站后臺，由CNCVE對申請單位進行綜合評估。如果申請單位滿足人數(shù)要求且在申請日前近6個月內(nèi)已經(jīng)獲得符合數(shù)量的相關(guān)原創(chuàng)漏洞證書（以證書上的時間為準），則可免于考察，直接進入專家評審階段。(3)專家評審階段：CNCVE召開技術(shù)支撐單位申請專家評審會，通過對申請單位提交的申請材料、考察期貢獻內(nèi)容、與CNCVE溝通配合情況等內(nèi)容進行綜合評估和級別判定。(4)協(xié)議簽訂階段：CNCVE將評審結(jié)果通知申請單位，與通過評審的申請單位簽訂《中文漏洞知識庫（CNCVE）與技術(shù)支撐單位合作協(xié)議》。(5)證書頒發(fā)階段：CNCVE向技術(shù)支撐單位頒發(fā)證書，有效期一年。證書維持與年度評價（一）證書維持技術(shù)支撐單位證書有效期為一年。CNCVE在支撐單位有效期結(jié)束之前1個月內(nèi)對其進行年度貢獻審核，根據(jù)其證書有效期內(nèi)貢獻情況，如滿足各級別續(xù)期要求則辦理證書續(xù)期。證書續(xù)期規(guī)則如下：1、若年度支撐貢獻滿足該級別的要求，等級維持不變。2、“二級”或“三級”支撐單位，若年度支撐貢獻達到上一級對應(yīng)的要求，可申請升級一個級別，經(jīng)審批通過后可辦理升級。對于貢獻特別突出的單位，經(jīng)批準可酌情提前予以升級一個級別。3、年度支撐貢獻不滿足該級別的要求，則降低一個支撐等級直至取消資格（如：“一級”降為“二級”，“三級”取消資格）。4、如支撐單位在證書有效期間，有違反國家法律法規(guī)及雙方作協(xié)議的情況，CNCVE將有權(quán)取消技術(shù)支撐單位資格并撤回證書。技術(shù)支撐單位的單位名稱及注冊地址發(fā)生變化時，可向CNCVE提交《技術(shù)支撐單位信息變更申請表》,經(jīng)CNCVE審核通過實施證書信息變更。證書信息變更內(nèi)容不包含統(tǒng)一社會信用代碼。（二）年度評價CNCVE每年度根據(jù)技術(shù)支撐單位漏洞貢獻情況進行綜合評價，對貢獻突出的支撐單位給予榮譽獎勵。各技術(shù)支撐單位應(yīng)積極配合CNCVE貢獻統(tǒng)計及年度評價工作。（三）證書費用CNCVE收取一定的證書費用用于人工審核和專家評審，在申請時一并繳納。收費標準如下：技術(shù)支撐單位級別收費金額（元/次）三級免費二級免費一級免費CNCVE每年度根據(jù)技術(shù)支撐單位漏洞貢獻情況進行綜合評價，對貢獻突出的支撐單位給予榮譽獎勵。各技術(shù)支撐單位應(yīng)積極配合CNCVE貢獻統(tǒng)計及年度評價工作。聯(lián)系方式聯(lián)系方式：CNCVE【網(wǎng)址】/【客服郵箱】cncve@【客服熱線】400-642-8089注：本指南自發(fā)布之日起實施，最終解釋權(quán)歸憑闌實驗室所有。附件1：技術(shù)支撐單位初審貢獻指標初審項目初審指標基本信息技術(shù)支撐單位申請材料內(nèi)容填寫完整、真實準確。技術(shù)能力單位主營業(yè)務(wù)涵蓋信息安全行業(yè)，相關(guān)安全業(yè)務(wù)與漏洞分析挖掘密切相關(guān)，具備一定安全漏洞研究能力、安全應(yīng)急響應(yīng)能力。具備在信息安全領(lǐng)域的集成、研發(fā)或服務(wù)能力。漏洞團隊漏洞團隊要求：一級：人數(shù)達到20人以上,團隊研究方向與獲得成績非常突出；二級：人數(shù)達到10人以上,團隊研究方向與獲得成績比較突出；三級：人數(shù)達到5人以上,團隊研究方向與獲得成績符合要求。注：提供社保證明。原創(chuàng)漏洞支撐向CNCVE認可的漏洞平臺提交原創(chuàng)漏洞：一級：通用型漏洞不少于30個，其中高危及以上漏洞不少于3個；二級：通用型漏洞不少于15個，其中高危及以上漏洞不少于1個；三級：通用型漏洞不少于3個。注：提供原創(chuàng)漏洞證書或證明。

附件2：技術(shù)支撐單位年度支撐指標評價項目評價指標資料合規(guī)性《CNCVE技術(shù)支撐單位年度工作總結(jié)》內(nèi)容填寫真實完整，符合要求。安全合規(guī)性沒有違反相關(guān)法律法規(guī)行為。業(yè)務(wù)配合度與CNCVE溝通配合順暢，態(tài)度積極，