协调漏洞披露知识库
各维度得分依据公开资料与字段推算,加权后即综合评分,仅供参考。
coordinatedvulnerabilitydisclosure.org(前身 responsibledisclosure.nl)是一个面向协调漏洞披露(CVD)的资源网站,目标是缓解善意黑客与存在漏洞的组织之间缺乏信任的问题。正文明确指出,很多研究人员发现漏洞后处于法律灰色地带,而组织也常因客服拦截、内部责任不清或沟通不佳导致报告处理失败。该站点通过提供清晰的示例政策,鼓励双方建立可预期的协作流程。
从防护类型看,它属于漏洞披露治理与漏洞响应流程建设工具,而不是扫描器、WAF、EDR 或漏洞赏金平台。其核心内容是一个虚构 ACME 公司的 CVD policy 示例,并建议复用前至少修改公司名称、报告邮箱和对应 PGP key。部署方式也很轻量:组织可将改写后的政策发布在标准位置,如 www.example.com/security,并清晰定义可接受的测试目标与攻击方法。
正文提到该示例文本是对荷兰国家网络安全中心 NCSC responsible disclosure guideline 的补充,并以 Creative Commons Attribution 4.0 International 许可发布,因此可在署名条件下复用。未看到商业定价、付款方式或服务等级说明,也未提供 API、SIEM、工单系统、告警中心等集成能力。管理与告警层面,它更多是流程建议:让黑客知道向哪里报告、能做什么、组织如何接收和跟进,而非提供自动化运营平台。
优点是定位清晰、门槛低,尤其适合尚未建立漏洞披露入口的组织快速起步;它强调公开政策、报告渠道和攻击边界,有助于减少误解与法律风险。缺点也明显:内容只是模板和说明,缺少漏洞生命周期管理、SLA、协作沟通、奖励结算、身份验证等平台能力;组织仍需结合自身法律、合规和基础设施情况进行本地化改写。
它适合中小企业、公益组织、学校或政府部门在建设 security 页面和漏洞报告邮箱时参考,也适合作为安全团队制定 CVD 流程的基础材料。中国访问、支付方式在正文中没有信息,判断为未知。若需要平台化运营,可考虑 HackerOne、Bugcrowd、Intigriti,或自建 security.txt、漏洞响应邮箱和内部工单流程。
本测评基于公开资料整理,不构成购买建议,请以 coordinatedvulnerabilitydisclosure.org 官网实际信息为准。
提供CVD政策模板和披露方法,适合安全团队参考。
评分明细(分布与用户短评)接入中。当前展示 TG4G 综合评分,数据源自公开测评与用户反馈。