中国的新法要求供应商向政府报告零日漏洞

中国网络空间管理局（CAC）发布了新的更严格的漏洞披露规定，要求受严重缺陷影响的软件和网络供应商在提交报告后两天内，强制向政府当局直接披露这些缺陷。

“网络产品安全漏洞管理条例”预计将于2021年9月1日起实施，旨在规范安全漏洞的发现、报告、修复和发布，防止安全风险。

《条例》第四条规定：“任何组织和个人不得利用网络产品安全漏洞从事危害网络安全的活动，不得非法收集、销售、发布网络产品安全漏洞信息。”。

除了禁止销售之前未知的安全漏洞外，新规则还禁止向产品制造商以外的“海外组织或个人”披露漏洞，同时指出，公开披露时应同时发布修复或预防措施。

“不得故意夸大网络产品安全漏洞的危害和风险，不得利用网络产品安全漏洞信息进行恶意炒作或者欺诈、敲诈勒索等违法犯罪活动，”条例第9条第（3）款规定。

此外，它还禁止发布利用漏洞并将网络置于安全风险的程序和工具。