CAPPVD全称:工业和信息化部移动互联网APP安全漏洞库(China National APP Vulnerability Database)。
CAPPVD漏洞库面向网络产品提供者和网络运营者,以及从事网络产品安全漏洞发现、收集等活动的组织或者个人开展移动互联网APP产品安全漏洞收集、验证、修补等相关工作。
对APP产品提供者的建议
- 加强安全防护:建议APP产品提供者在产品发布前对APP产品开展安全检测工作,在运营过程中,定期委托第三方专业机构及安全厂商对APP开展安全评估。
- 及时修补漏洞:建议APP产品提供者及时登录CAPPVD漏洞库,查看关于自身产品的漏洞详情,及时上传修补方案,同步开展漏洞修复,并上传漏洞修复报告。
- 积极建设生态:建议有兴趣有能力的单位积极参与移动互联网APP产品安全相关的讨论和研究,共同建设移动互联网APP产品安全生态。
背景
2021年7月12日,工业和信息化部、国家互联网信息办公室、公安部印发《网络产品安全漏洞管理规定》,自2021年9月1日起施行。《网络产品安全漏洞管理规定》第七条指出网络产品提供者应当履行发现漏洞及时上报的义务。
2021年7月12日,工业和信息化部、国家互联网信息办公室、公安部联合印发《网络产品安全漏洞管理规定》(以下简称《规定》)。为贯彻落实《规定》要求,做好移动互联网APP产品安全漏洞管理工作,构建协同联动普惠共享的生态圈,在工业和信息化部网络安全管理局的组织指导下,中国软件评测中心承担了移动互联网APP产品安全漏洞库(简称CAPPVD)建设工作,并依托中国计算机行业协会成立安全漏洞管理特设工作组。
2021年8月26日,工业和信息化部移动互联网APP产品安全漏洞库发布会暨安全漏洞管理特设工作组成立仪式在京举办。活动由中国电子信息产业发展研究院、中国软件评测中心(工业和信息化部软件与集成电路促进中心)主办,远江盛邦(北京)网络安全科技股份有限公司、上海观安信息技术股份有限公司、北京梆梆安全科技有限公司承办,中国计算机行业协会协办。
本次活动旨在贯彻落实《规定》相关要求,充分发挥移动互联网领域相关企业的技术优势,联合业界知名科研机构、高校、安全企业、网络产品提供者、网络运营者等,全力做好移动互联网APP产品漏洞收集、认定、修补等工作,提高威胁应对与风险管理能力,保障国家网络安全。
组织架构
中国软件评测中心联合网络产品提供者、网络运营者,以及应用市场、科研机构、高校、安全企业等从事网络产品安全漏洞发现、收集、发布等活动的组 织或者个人,在中国计算机行业协会下成立安全漏洞管理特设工作组,下设管理组、技术组和生态组,负责CAPPVD漏洞库运营、移动互联网APP产品安全漏 洞管理、特设组建设等工作。
以管理组为基础
- 政府支撑
- 统筹协调
- 工作总结
- 成员管理
承担特设组内统筹协调、工作总结以及组织对工业和信息化部支撑等,会同生态组做好成员审核、分组、培训、考核等工作,保证特设组及CAPPVD漏洞库运行合法合规。
以技术组为支撑
- 漏洞收集
- 漏洞认定
- 漏洞修补
- 漏洞库运营
- 漏洞库维护
设立收集、认定、修补、运营、维护等5个小组,负责移动互联网APP产品安全漏洞收集、认定、修补以及CAPPVD漏洞库建设维护,确保CAPPVD漏洞库运行安全稳定。
以生态组为保障
- 成员激励
- 成员协同
- 漏洞库推广
持续强化与特设组各成员联系,做好各成员间协调,不断强化激励机制,联合成员开展多种形式的宣传推广活动,扩大CAPPVD漏洞库及特设组影响力,吸收各方力量加入特设组。同时,配合管理组做好成员审核、分组、培训、考核等工作,构建良好的合作生态。
常见漏洞
App产品安全漏洞主要分布在客户端(55%)、数据传输(10%)、服务端(35%)。
| 客户端 | 数据传输 | 服务端 |
|---|---|---|
| 组件导出漏洞 | 信息泄露漏洞 | 数据库注入漏洞 |
| 密钥硬编码漏洞 | 中间人攻击漏洞 | 文件上传漏洞 |
| 敏感数据明文存储漏洞 | 不安全加密算法漏洞 | 跨站脚本漏洞 |
| 组件注入漏洞 | 证书校验漏洞 | 跨站请求伪造漏洞 |
| 锁屏绕过漏洞 | …… | 跨域访问漏洞 |
| 控件劫持漏洞 | 业务逻辑漏洞 | |
| …… | …… |
App产品安全漏洞常见类型及占比:
| 漏洞类型 | 占比 |
|---|---|
| 应用配置漏洞 | 12% |
| 信息泄露漏洞 | 14% |
| 身份验证漏洞 | 14% |
| 代码安全漏洞 | 14% |
| 业务逻辑漏洞 | 18% |
| 代码执行漏洞 | 8% |
| 通信安全漏洞 | 10% |
| 其他安全漏洞 | 10% |
支持单位
遵选出30余家技术支撑单位,包括国内知名安全厂商和互联网头部企业三六零数字安全科技集团有限公司、上海斗象信息科技有限公司、北京神州绿盟科技有限公司、北京天融信网络安全技术有限公司、北京梆梆安全科技有限公司、山东新潮信息技术有限公司、北京小米科技有限责任公司、中国联通软件研究院等。依托CAPPVD漏洞库,推进移动互联网APP产品的漏洞发现、处理、修复,消除安全风险,减少厂商的安全漏洞带来的损失。
技术支撑单位名单:
奇安信科技集闭股份有限公司
北京智游网安科技有限公司
北京杯梆安全科技有限公司
北京神州绿照科技有限公司
北京启明星辰信息安全技术有限公司
北京天融信网络安全技术有限公司
北京小米科技有限责任公司
远江餐邦(北京)网络安全科技股份有限公司
上海戏安信息技术股价有限公司
深圳市腾讯计算机系统有限公司
上海斗象信息科技有限公司
三六军数字安全科技生团有限公司
武汉安天信息技术有限壹任公司
中国联合网烙短信有限公司状件研究院
北京水信至诚科技撒份有限公司
北京安普诺信息技术有限公司
北京百度网讯科技有限公司
山东新潮信息技术有限公司
深圳市网安计算机安全检测技术有限公司
卓组数码技术(深圳)有限公司
北京惠而特科技有阻公司
北京时代新成信息技术有限公司
北京云测信息技术有限公司
北京众安天下科技有限公司
工苏骏安信息测评认证有限公司
江苏通付腊信息安全技术有限公司
新部量子通信技术有限公司
浙江大华技术股使有限公司
酒工解安信息技术有限公司
郑州云智信安安全技术有限公司
参考:
政策信息
- 《网络产品安全漏洞管理规定》
政策文件
文档信息
- 本文作者:zhupite
- 本文链接:https://zhupite.com/sec/CAPPVD.html
- 版权声明:自由转载-非商用-非衍生-保持署名(创意共享3.0许可证)