从零开始：个人上报CNVD漏洞指南，成为一名合格的漏洞猎人

从零开始：个人上报CNVD漏洞指南，成为一名合格的漏洞猎人

在当今数字化时代，网络安全漏洞的发现与上报对于维护网络环境的安全至关重要。本文将为你提供一份详尽的指南，从零开始学习如何个人上报CNVD漏洞，助力你成为一名合格的漏洞猎人。

了解CNVD

CNVD（中国国家信息安全漏洞库）是由国家互联网应急中心管理的国家级安全漏洞数据库。它主要负责收集、分析和发布各类信息安全漏洞信息。通过CNVD上报漏洞，意味着你的发现将被纳入国家级安全数据库，并被相关安全厂商和组织采纳。

注册与登录

要在CNVD上报漏洞，首先需要注册一个账户并登录。注册过程可通过访问CNVD官方网站完成：

注册链接：https://www.cnvd.org.cn/user/regist

登录成功后，你可以进入个人中心修改个人信息。由于是个人上报，无需填写工作单位信息。在发放证书时，将以你的真实姓名为准。

上报漏洞

登录后，点击右上角的“立即上报漏洞”按钮，进入漏洞提交页面。在这里，你需要选择漏洞所属类型，分为事件型和通用型：

• 事件型漏洞：指单个系统出现的漏洞。
• 通用型漏洞：指广泛使用的系统（如APP、软件或系统）出现的漏洞。

在提交漏洞时，需要填写以下信息：

• 涉事单位
• 所在省份
• 影响对象类型
• 漏洞名称
• 漏洞URL
• 解决方案

同时，建议将漏洞复现过程录制成视频，并将漏洞报告文档与视频打包成ZIP压缩包一起上传。你可以通过公众号后台私聊获取漏洞报告模板。

审核时间

• 事件型漏洞：验证时间不超过1个工作日，3个工作日内通报涉事单位，一般在一周内完成归档。
• 通用型漏洞：验证时间取决于复现条件，通报到厂商的时间不超过5个工作日。符合条件的通用型漏洞在归档到发放证书之前，一般需要一个月或更长时间。

证书发放条件

• 通用型漏洞：开发商企业的实缴资本不低于5000万，且系统需要至少有10个以上的复现案例。在提交漏洞报告时，需要确保每一个复现案例都详细记录，并写入漏洞报告中。
• 事件型漏洞：涉及党政机关、重要行业单位、科研院所、以及重要企事业单位（如中国移动、中国联通、中国电信、中国铁塔）的高危事件型漏洞。

如果在漏洞归档后的两个星期内仍未收到证书，可发送邮件至vreport@cert.org.cn，并提供漏洞编号进行询问。

积分发放时间

漏洞归档后，积分发放将在两个星期内进行。积分发放标准如下：

• 企业漏洞：1.5分
• 高风险漏洞：2.04分
• 严重漏洞：3分

积分是根据漏洞的验证程度和单位性质进行奖励的，具体详情可参考《CNVD原创漏洞积分评分细则》。

兑换积分奖励

获得原创漏洞积分后，CNVD平台大约每隔一个多月会发布兑换积分的公告。根据你的荣誉值，积分奖励将分批次开放。数量有限，可以前往CNVD积分商城进行兑换。

结语

在漏洞挖掘过程中，请务必遵守网络安全法相关规定。及时发现漏洞并上报是维护网络安全的重要举措，我们应当时刻牢记这一责任。

参考资料

1. CNVD原创漏洞审核和处理流程：https://www.cnvd.org.cn/webinfo/show/3933
2. CNVD原创漏洞积分评分细则：https://www.cnvd.org.cn/webinfo/show/3932