GB/T 28458-2020 代替GB/T 28458—2012
信息安全技术网络安全漏洞标识与描述规范
Information security technology—Cybersecurity vulnerability identification and description specification
2020-11-19发布
2021-06-01实施
目 次
前言………………………………………………………………………………………………………… 1
1 范围 ………………………………………………………………………………………………………1
2 规范性引用文件…………………………………………………………………………………………1
3 术语和定义 ……………………………………………………………………………………………… 1
4 缩略语 …………………………………………………………………………………………………… 1
5 网络安全漏洞标识与描述 ………………………………………………………………………………1
5.1 框架 ………………………………………………………………………………………………… 1
5.2 标识项 ……………………………………………………………………………………………… 2
5.3 描述项 ……………………………………………………………………………………………… 2
5.4 证实方法 …………………………………………………………………………………………… 4
附录 A（资料性附录） 漏洞标识与描述规范示例的XML 表示 ……………………………… 5
前 言
本标准按照GB/T1.1一2009 给出的规则起草。
本标准代替GB/T 28458一2012《信息安全技术 安全漏洞标识与描述规范》，与GB/T 28458一2012相比，主要技术变化如下∶
——修改了网络安全漏洞的术语和定义（见3.1，2012年版的3.2）;
——增加了缩略语（见第4 章）;
——将标识与描述作为两个方面表述，增加了标识字段描述内容（见 5.2）;
——增加了验证者、发现者、存在性说明和检测方法等描述项内容（见5.3.4、5.3.5、5.3.10、5.3.11）;
——修改了标识项、名称、受影响产品或服务、相关编号、解决方案等内容（见5.2、5.3.1、5.3.8、5.3.9、5.3.12，2012年版的4.2.1、4.2.2、4.2.7、4.2.8、4.2.10）;
​​​​​​​——删除了利用方法描述项（见 2012年版的 4.2.9）。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。
本标准由全国信息安全标准化技术委员会（SAC/TC 260）提出并归口。