中国「ネットワーク製品セキュリティ脆弱性管理規定」試訳 - ぬるきゅー(ぬるめのセキュリティ日記)中国ではセキュリティリサーチャーが脆弱性を政府に報告する義務がある、という誤解が一部にあるようなので、該当の法律「ネットワーク製品セキュリティ脆弱性管理規定」(2021/9/1施行)の全文を試訳する。 ひとことで言うと、政府に対する報告義務があるのはプロダクトの提供業者であって、しかもそれは政府が設置した脆弱性共有プラットフォームに対してである。 個人や組織が脆弱性を発見した場合は、提供業者に対する報告が奨励されているだけで、脆弱性を見つけたら政府に報告しろ、とはどこにも書かれていない。 「いや、中国は法治国家ではない」という意味不明の勘違いをしている人はまず中国の法執行の実態を勉強しよう。 なお「ネットワーク製品」はネットワークに接続されているソフトウェア、ハードウェア製品すべてのことなので、ネットワーク機器だけでなくIT製品全般を指す。 https://www.amazon.co.jp
