V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  polaa  ›  全部回复第 27 页 / 共 45 页
回复总数  896
1 ... 23  24  25  26  27  28  29  30  31  32 ... 45  
2020-07-01 20:32:06 +08:00
回复了 hahahenimei 创建的主题 上海 闵行七宝,有一起健身的兄弟嘛
直接去健身房 找那些撸铁的大肌霸, 据说都很友好 不过我没尝试过🤣
@zgzhang 对 明明其实是平台的问题
2020-07-01 20:20:41 +08:00
回复了 win7pro 创建的主题 分享发现 百度真的有好好做推荐吗?
大概同 ip 或者同账号历史有搜索过相关关键词🤣
@chinvo 本条明确了第三方组织或个人发布网络安全漏洞信息的原则和要求。



网络漏洞信息发布不当,可能会危害国家安全、社会安全、企业安全和用户安全。本条的直接上位法条文依据为《网络安全法》第二十六条,“开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息,应当遵守国家有关规定。”具体规制内容沿用了《漏洞管理规范(征求意见稿)》第 5.5 条的思路,包括网络安全漏洞发布对象、发布方式、发布的原则要求和发布的具体要求四点。



第一点,发布对象,第三方组织或个人,即开展漏洞检测、评估、收集、发布及相关竞赛等活动的组织和个人。



第二点,发布方式,通过网站、媒体、会议等方式向社会发布,主要指向公开发布的形式。



第三点,发布的原则要求,遵循必要、真实、客观、有利于防范和应对网络安全风险的原则。漏洞信息涉及的目标对象、风险情况描述等应真实客观,不得发布虚假、容易引起误解和恐慌和用于打击竞争对手等不正当竞争目的等的网络安全漏洞信息。



第四点,发布的具体要求,包括“三不得”和“一同步”。



“三不得”规范了发布时间、发布的真实客观性和发布内容,具体包括:



第一,发布时间要求,不得在网络产品、服务提供者和网络运营者向社会或用户发布漏洞修补或防范措施之前发布相关漏洞信息。该项要求与本规定第三条第二项相关联,参照了《中国互联网协会漏洞信息披露和处置自律公约》(以下简称“《漏洞披露和处置自律公约》”)第十一条适时披露原则的精神,但对具体时间节点进行了明确规定。需要探讨的点在于,该项似乎隐含如果该等漏洞信息无需用户或相关技术方采取漏洞修补或防范措施,网络产品、服务提供者和网络运营者可以不向社会或用户发布,由此也能限制第三方组织或个人向社会发布网络安全漏洞信息;



第二,发布的真实客观性要求,沿用了《漏洞管理规范(征求意见稿)》 5.5.1b)条和《漏洞披露和处置自律公约》第十一条客观原则要求的思路,漏洞信息涉及的目标对象、风险情况描述等应真实客观,不得将漏洞潜在风险作为网络攻击事件进行发布和诱导,不得刻意夸大漏洞的危害和风险,避免引起媒体舆论和社会公众的误读和恐慌;



第三,发布内容要求,沿用了《漏洞管理规范(征求意见稿)》 5.5.1c)条的思路,旨在防止为相关漏洞被违法违规利用提供帮助的行为。需要进一步探讨的是,这里的“专门”的限定是否有必要?实践中有多大概率会专门发布从事危害网络安全活动的方法、程序和工具?。



“一同步”,即同步发布漏洞修补或防范措施,意味着在网络产品、服务提供者和网络运营者发布漏洞修补或防范措施之外,漏洞发布者也需要发布漏洞修补或防范措施。未决问题在于,漏洞发布者发布的漏洞修补或防范措施是否可以与网络产品、服务提供者和网络运营者发布漏洞修补或防范措施保持一致?还是需要提出同等保护效果或者更有效的修补或防范措施?
正常流程一般是挖到了不披露,联系产品,然后产品方修复 bug 之后再披露
如果联系不到产品方或者产品方不 care,那么就会提交 src,让平台和产品方扯皮,
如果产品方还是不 care 那么就披露完整的 poc.

> 监管部门鼓励第三方组织和个人及时向漏洞收集平台报送获知网络产品、服务、系统存在的漏洞情况
官方是支持向平台披露的,当然这个感觉主要指 CNVD

问题感觉在 src 平台那边

---
以及楼上有些不是很懂漏洞披露流程,说的话很不负责任
---

》 给你一些参考条款 《漏洞管理规定(征求意见稿)》里的
第三方组织 : 违反《漏洞管理规定(征求意见稿)》规定向社会发布漏洞信息的

由工业和信息化部、公安部等有关部门组织对其进行约谈;

给予行政处罚,如给予警告,处以罚款,责令暂停相关业务,停业整顿,关闭网站,吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处以罚款等;

构成犯罪的,依法追究刑事责任;

给网络产品、服务提供者和网络运营者造成经济或名誉损害的,依法承担民事责任。


(处罚依据:《网络安全法》第六十二条和第六十三条等)
2020-07-01 17:29:02 +08:00
回复了 miaeLKK 创建的主题 职场话题 想裸辞,合适吗?
同样裸辞,感觉特别爽,当然个人压力不是很大

以现在北京的情况,建议先远程面的差不多再来北京
2020-06-30 12:48:24 +08:00
回复了 wsy190 创建的主题 程序员 内推进来的同事转正后想离职后续
上下级(在工作时间)不要当朋友
你是他的上级, 他还没离职 那就该下发任务下发任务

>他不愿意接触工业相关的,比如说 WINCC,OPC,MODBUS 协议之类的,我都没让他搞,前段时间领导说让看看 3D 之类的东西(他不懂技术),我也没办法硬推,之后我自己研究的这块东西。
我让他把不是 SpringBoot 的项目改成 SpringBoot 的他说太费时间,不改,最后也没改。
上周做了个破项目就是上传文件的一个小型资料管理平台,他说后台太难做,一个月做不好,我说多好做,他说那我做接口,你做后台。

你不是个合格的上级
2020-06-28 20:57:38 +08:00
回复了 Yztx720 创建的主题 程序员 程序猿作者的故事
现在的国内技术书 很多就是东抄抄西抄抄
本来想说高端索尼的 然后看到预算... 我觉得可以放弃电视了
2020-06-26 23:53:21 +08:00
回复了 drawstar 创建的主题 问与答 公务员 or 程序员 应届生求建议
要考公务员也是长三角珠三角啊...

而且听说加班严重 30 岁之类的...
你都不亲眼看一下的么 回音壁效应了解一下
2020-06-26 10:26:29 +08:00
回复了 fightingZ 创建的主题 上海 关于上下班通勤
方案四 买个自行车
2020-06-23 23:44:59 +08:00
回复了 sadfQED2 创建的主题 问与答 golang 在 mipsle 平台的问题
因为路由器上的系统是阉割版 linux 大概的可能的不满足依赖? 不是很确定

一般编译嵌入式设备是是使用 buildroot 或者 crosstool-ng 等嵌入式平台的交叉编译工具链
@linvon 烤箱就行
自己做啊
1 ... 23  24  25  26  27  28  29  30  31  32 ... 45  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2349 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 37ms · UTC 11:26 · PVG 19:26 · LAX 04:26 · JFK 07:26
Developed with CodeLauncher
♥ Do have faith in what you're doing.