ENISA 最终报告(14天)(Final Report)
模板:根据 Art. 14(2)(c) CRA 的最终报告
1. 先前通知参考
| 字段 | 值 |
|---|---|
| 预警参考号 | [EW-YYYY-NNN] 日期 [日期] |
| 通知参考号 | [SM-YYYY-NNN] 日期 [日期] |
| 最终报告参考号 | [FR-YYYY-NNN] |
| 日期 | [YYYY-MM-DD] |
2. 制造商标识
| 字段 | 值 |
|---|---|
| 公司 | BAUER GROUP |
| 联系人 | [姓名, 职务] |
| 电子邮件 | disclosure@cra.docs.bauer-group.com |
3. 摘要
[用 3-5 句话简要概述事件]
4. 完整时间线
| 日期/时间 | 事件 |
|---|---|
| [YYYY-MM-DD HH:MM] | 漏洞/事件首次检测到 |
| [YYYY-MM-DD HH:MM] | 分类完成,严重性已确认 |
| [YYYY-MM-DD HH:MM] | ENISA 预警已发送 |
| [YYYY-MM-DD HH:MM] | 即时措施已实施 |
| [YYYY-MM-DD HH:MM] | ENISA 通知已发送 |
| [YYYY-MM-DD HH:MM] | 补丁已开发并测试 |
| [YYYY-MM-DD HH:MM] | 补丁已发布(版本 X.Y.Z) |
| [YYYY-MM-DD HH:MM] | 用户已通知 |
| [YYYY-MM-DD HH:MM] | 事件评估为已解决 |
5. 根本原因分析
根本原因: [漏洞根本原因的详细技术分析]
漏洞引入方式: [例如 编码错误, 第三方组件, 配置错误, 设计缺陷]
漏洞引入时间: [引入时的版本/日期]
为何未更早发现: [例如 未被自动扫描覆盖, 新型攻击向量]
6. 恶意行为者信息 (Art. 14(2)(c)(ii))
| 字段 | 值 |
|---|---|
| 已识别恶意行为者 | [是 / 否 / 疑似] |
| 攻击类型 | [定向攻击 / 大规模利用 / 未知] |
| 已知威胁行为者/组织 | [如已知,例如 APT 组织、攻击活动名称] |
| 入侵指标 (IoC) | [IP 地址, 哈希值, 域名 -- 如可用] |
| 与主管部门合作 | [是(哪些) / 否 / 不适用] |
7. 受影响产品(最终)
| 产品 | 受影响版本 | 修复版本 | 用户/设备数 |
|---|---|---|---|
| [名称] | [v1.0.0 -- v1.3.2] | [v1.3.3] | [数量] |
8. 已采取的措施(完整)
| 措施 | 日期 | 结果 |
|---|---|---|
| 即时遏制 | [日期] | [描述] |
| 补丁开发 | [日期] | [版本 X.Y.Z] |
| 安全审查 | [日期] | [结果] |
| 补丁发布 | [日期] | [可通过以下方式获取:Release, Registry] |
| SBOM 已更新 | [日期] | [包含修复的新 SBOM] |
| 用户通知 | [日期] | [渠道:Advisory, 电子邮件] |
| 增强监控 | [日期] | [描述] |
9. 残余风险
| 风险 | 评估 | 缓解措施 |
|---|---|---|
| [例如 并非所有用户已更新] | [中] | [计划再次通知] |
| [例如 相关代码中存在类似漏洞] | [低] | [已进行主动审查] |
10. 经验教训
做得好的方面:
- [例如 通过 CVE Monitor 快速检测]
- [例如 24小时内提供补丁]
可改进的方面:
- [例如 扩展受影响区域的测试覆盖率]
- [例如 加快用户通知速度]
11. 预防未来事件的措施
| 措施 | 负责人 | 截止日期 |
|---|---|---|
| [例如 创建额外的 SAST 规则] | [团队] | [日期] |
| [例如 收紧依赖策略] | [团队] | [日期] |
| [例如 扩展监控规则] | [团队] | [日期] |
| [例如 安全编码培训] | [团队] | [日期] |
12. 声明
我们特此确认,本最终报告中包含的信息据我们所知是正确和完整的。
| 字段 | 值 |
|---|---|
| 姓名 | [负责人姓名] |
| 职务 | [职务] |
| 日期 | [YYYY-MM-DD] |
| 签名 | _________________________ |