之前打算申请个CNVD的原创漏洞证书。经过这一个多月的时间证书下来了,现在简单总结一下。
原创漏洞审核和处理流程参考此链接:http://www.cnvd.org.cn/webinfo/show/3933
然后我就说说我提交过两个后台的文件上传漏洞
7.26提交-7.27二审通过,验证通过-9.4三审通过,漏洞归档-9.9漏洞公开
我在想漏洞公开了,怎么证书也应该下来了,我这个通用型的漏洞评分7.0,也超过要求的4.0以上。
然后我就去CNVD咨询
感谢您对CNVD的支持,对于通过CNVD归档的原创漏洞,只颁发(1)对于中危及中危以上通用型漏洞(CVSS2.0基准评分超过4.0分)(除小厂商的产品、黑盒测试案例不满10起等不颁发证书),(2)涉及电信行业单位(中国移动、中国联通、中国电信及中国铁塔公司)和中央部委级别(不含直属事业单位)的高危事件型漏洞,CNVD将给予原创漏洞证明(即CNVD漏洞证书,电子版),该证明可通过编号在CNVD官方网站进行查询跟踪。
时限要求:按周对上一周归档漏洞且满足证书颁发条件的进行批量制作。
我这个已经超过到归档第二周了,理论上应该下来了。然而并没有,所以可能是因为是小厂商导致被排除发证书。我这个是下载源码进行本地代码审计找到的漏洞。
9.13 证书下来了一个,另一个没有证书。
总结:尽量找大厂商的漏洞,然后提交危害比较严重的漏洞。尽量找有官网的CMS,不要去找小厂商的,没证书的。