欧盟CRA参考
基础网络安全要求 - 附件一 第一部分 第2条a款
含数字元素的产品必须确保网络安全并消除已知漏洞,采用安全配置,支持及时的安全更新。确保防止未授权访问、保障数据保密性、完整性和可用性。
查看法规原文欧盟CRA参考
技术文档要求 - 附件VII第2条b款
技术文档必须包括产品概述、软件物料清单(SBOM)和用户说明,应详细说明开发与漏洞处理流程、网络安全风险评估、CE标志及欧盟符合性声明。
查看法规原文欧盟CRA参考
早期预警机制 - 第二章制造商义务,第14条第2款a-c项
制造商须针对被主动利用的漏洞提交通告:24小时内发布早期预警,72小时内提交详细漏洞通告,并在补救措施就绪后14日内提交最终报告。所有报告须包含漏洞详情、影响范围及缓解措施。
查看法规原文Qt亮点
商业用户安全漏洞报告
商业版客户将在48工作小时内获Qt Group响应(或通过高级支持在24小时内获得响应)。
- 新漏洞:Qt Group在bugreports.qt.io上创建工单。
- 已知问题:Qt Group在bugreports.qt.io上更新现有工单,补充更多数据并提升客户优先级。。
- Qt Group分配修复任务。
4.Qt Group分配CVE编号,并发送首封早期预警清单(EWL) 邮件。
5.该问题将分配给对应的研发团队按照优先级进行修复。
6.一旦补丁就绪,Qt Group会发送第二封EWL邮件。
7.补丁集成至正式版本并通过测试
8.Qt Group发布并发送第三封(最终)EWL邮件,同时发布技术博客、安全公告、CVE数据库更新等公共信息。
开源用户安全漏洞报告
1.用户发送电子邮件至security@qt-project.org。
2.Qt Group在bugreports.qt.io新建隐藏状态工单或更新现有工单数据。
3.等待研发团队梳理流程:漏洞真实性验证、优先级验证、补充信息需求判断。
注:本文虽描述客户报告渠道,但漏洞常通过Qt开发者邮件列表或第三方软件项目通讯提交至研发团队。
Qt Group后续工作
监管机构ENISA接口开放后立即启用
完善全产品线系统化事件响应演练流程与实践
本页面及网站内容不构成法律意见,仅用于信息分享及议题讨论。内容可能随时变更,Qt Group不保证信息的准确性或时效性,亦不对任何外部链接网站的内容及运营负责。此处信息不可替代且不应被视为法律建议。