為進一步規(guī)范網(wǎng)絡(luò)安全漏洞的信息披露和處置工作，在工業(yè)和信息化部的指導(dǎo)下，中國互聯(lián)網(wǎng)協(xié)會網(wǎng)絡(luò)與信息安全工作委員會組織有關(guān)單位起草了《中國互聯(lián)網(wǎng)協(xié)會漏洞信息披露和處置自律公約》（以下簡稱公約），并于6月19日組織烏云、補天、漏洞盒子等民間漏洞平臺、重要行業(yè)部門、基礎(chǔ)電信企業(yè)、軟硬件廠商、網(wǎng)絡(luò)安全企業(yè)與國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（CNCERT）等32家單位舉行了簽約儀式。

隨著互聯(lián)網(wǎng)的迅速發(fā)展和普及，網(wǎng)絡(luò)安全事件日益增多，其中信息系統(tǒng)存在高危漏洞已經(jīng)成為誘發(fā)網(wǎng)絡(luò)安全事件的重要因素。根據(jù)國家信息安全漏洞共享平臺（CNVD）收錄的情況，近3年來，新增通用軟硬件漏洞的數(shù)量年均增長20%左右，漏洞數(shù)量呈現(xiàn)快速增長趨勢。關(guān)鍵基礎(chǔ)設(shè)施和重要信息系統(tǒng)存在漏洞會帶來極大的安全隱患，一旦被黑客利用，不僅能威脅到網(wǎng)絡(luò)數(shù)據(jù)和用戶個人信息的安全，甚至可能會危害整個信息系統(tǒng)的安全運行。

近年來，國內(nèi)民間漏洞平臺開始出現(xiàn)并迅速發(fā)展，對于調(diào)動社會力量發(fā)現(xiàn)漏洞隱患，及時提醒和督促漏洞所屬單位修補漏洞、防范風(fēng)險，避免漏洞信息地下擴散等具有積極的意義。為充分發(fā)揮這些漏洞平臺的作用，工業(yè)和信息化部指導(dǎo)CNCERT與烏云、補天、漏洞盒子等民間漏洞平臺建立了工作聯(lián)系，重點處置涉及黨政機關(guān)、重要行業(yè)單位的漏洞信息。近3年，CNCERT從各漏洞平臺上接收和處置的涉及黨政機關(guān)、重要行業(yè)單位漏洞信息超過1.3萬起，及時協(xié)助相關(guān)單位排除了安全隱患。但民間漏洞平臺在發(fā)揮積極作用的同時，在漏洞披露方面也存在一些問題，如披露漏洞之前未及時通知涉事單位、披露信息過于詳細易被黑客組織利用、漏洞信息描述不準確或漏洞披露信息夸大造成社會恐慌等，因此對漏洞信息的披露亟待進一步規(guī)范。另外，對漏洞的處置也有待各方共同努力，提高應(yīng)急響應(yīng)和處置效率，降低漏洞對黨政機關(guān)、行業(yè)單位和用戶造成的威脅與經(jīng)濟損失。

此次公約簽訂是首次以行業(yè)自律的方式規(guī)范漏洞信息的接收、處置和發(fā)布工作。公約規(guī)定了CNCERT、漏洞報告平臺，以及軟硬件生產(chǎn)廠商、信息系統(tǒng)管理方在漏洞披露和處置方面的責(zé)任與自律條款，提出漏洞信息披露的“客觀、適時、適度”三原則，并要求各方加強協(xié)同配合，積極做好漏洞的驗證、評估、修復(fù)和用戶的主動響應(yīng)工作。公約強調(diào)要遵守國家政策法規(guī)和政府主管部門的規(guī)定，重點做好涉及政府和重要信息系統(tǒng)部門的漏洞披露與處置工作，同時也要積極保障用戶的漏洞知情權(quán)和安全利益。