从零开始：个人上报CNVD漏洞指南，成为一名合格的漏洞猎人

在今天的数字化世界中，网络安全漏洞是一项持续挑战。本指南将带领你从零开始，逐步学习如何个人上报CNVD漏洞，成为一名合格的漏洞猎人！

了解CNVD

CNVD即中国国家信息安全漏洞库，是由国家互联网应急中心管理的。它是一个用于收集、分析和发布信息安全漏洞的平台。在CNVD上报漏洞，意味着你的发现将被纳入到国家级的安全数据库中，并被相应的安全厂商和组织采纳。

注册与登录

要在CNVD上报漏洞，你需要先注册一个账户并登录。这可以通过访问CNVD官方网站完成。一旦注册成功并登录，你就可以开始上报漏洞了。

https://www.cnvd.org.cn/user/regist

登录成功后，前往个人中心可进行个人信息资料的修改。因为是个人上报，所以无需填写工作单位信息。在发放证书时，将以您的真实姓名为准。

上报漏洞

点击右上角的“立即上报漏洞”按钮，您将进入漏洞提交页面。在这里，您需要选择漏洞所属的类型，分为事件型和通用型。

事件型漏洞指的是单个系统出现的漏洞，而通用型漏洞则是指广泛使用的系统，例如APP、软件或系统出现的漏洞。

在提交漏洞时，您需要填写涉事单位、所在省份、影响对象类型、漏洞名称、漏洞URL、解决方案等相关信息。

同时，您还需要上传漏洞报告附件，建议将漏洞复现过程录制成视频，并将漏洞报告文档与视频打包成ZIP压缩包一起上传。您可以在公众号后台私聊发送漏洞报告模板获取。

审核时间

对于事件型漏洞，验证时间不会超过1个工作日，并在3个工作日内通报涉事单位。一般情况下，漏洞会在一个星期内完成归档。

而对于通用型漏洞，验证时间取决于复现条件，但通报到厂商的时间不会超过5个工作日。对于处置周期，则会根据处置难度和修复情况而定。符合条件的通用型漏洞在归档到发放证书之前，一般需要一个月或更长时间。

详情可参考CNVD原创漏洞审核和处理流程[1]

证书发放条件

通用型漏洞，开发商企业的实缴资本不低于5000万，并且系统需要至少有10个以上的复现案例。在提交漏洞报告时，需要确保每一个复现案例都详细记录，并写入漏洞报告中，以确保满足证书发放的条件。

事件型漏洞，涉及到党政机关、重要行业单位、科研院所、以及重要企事业单位（例如中国移动、中国联通、中国电信、中国铁塔）的高危事件型漏洞。

在漏洞归档后的两个星期内仍未收到证书，您发送邮件至vreport@cert.org.cn，并提供漏洞编号进行询问。

积分发放时间

漏洞归档后，漏洞积分发放将在两个星期内进行。一般情况下，企业漏洞发放的积分为1.5，高风险漏洞一般为2.04，而严重漏洞一般为3积分。发放的积分是根据漏洞的验证程度和单位性质进行奖励的，具体详情可参考《CNVD原创漏洞积分评分细则》[2]的公告。

原创漏洞积分并非指后台用户的积分，许多人一开始就混淆了这一点。实际上，您可以通过菜单栏中的点击来查看原创漏洞积分。

兑换积分奖励

获得原创漏洞积分后，CNVD平台大约每隔一个多月就会发布兑换积分的公告。根据您的荣誉值，积分奖励将分批次开放。数量有限，可以前往CNVD积分商城进行兑换。

结语

在漏洞挖掘过程中，请务必遵守网络安全法相关规定。及时发现漏洞并上报是维护网络安全的重要举措，我们应当时刻牢记这一责任。

参考资料

[1]

CNVD原创漏洞审核和处理流程: https://www.cnvd.org.cn/webinfo/show/3933

[2]

CNVD原创漏洞积分评分细则: https://www.cnvd.org.cn/webinfo/show/3932