GB/T 28458-2020.Information security technology-Cybersecurity vulnerability identification and description specification.
1范围
GB/T 28458规定了网络安全漏洞(以下简称“漏洞")的标识与描述信息。
GB/T 28458适用于从事漏洞发布与管理、漏洞库建设、产品生产、研发、测评与网络运营等活动的所有相关方。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 7408-2005数据元和交换格式 信息交换日 期和时间表示法
GB/T 25069信息安全技术 术语
GB/T 30276-2020信息安全技术网络安全漏洞管理规范
GB/T 30279-2020 信 息安全技术网络安 全漏洞分类分级指南
3术语和定义
GB/T 25069、GB/T 30276-2020 、GB/T 30279-2020界定的以及下列术语和定义适用于本文件。
3.1
网络安全漏洞 cybersecurity vulnerability
网络产品和服务在需求分析.设计.实现、配置、测试、运行、维护等过程中,无意或有意产生的.有可能被利用的缺陷或薄弱点。
注:这些缺陷或薄弱点以不同形式存在于网络产品和服务的各个层次和环节中,一旦被恶意主体所利用,就会对网络产品和服务的安全造成损害,从而影响其正常运行。
4缩略语
下列缩略语适用于本文件。
CNCVD:中国国家网络安全漏洞库(China National Cybersecurity Vulnerability Database)
CVE:公共漏洞和暴露(Common Vulnerabilities and Exposures)
XML:可扩展置标语言(Extensible Markup Language)