platformunda CNA (CVE Numbering Authority) yetkisine sahip olmuştur. CNA yetkisi ile USOM, yetki alanında üretilen dijital ürünlere zafiyet kodu ataması yapabilmektedir. Başvurular https://www.usom.gov.tr adresinde "CVE Başvurusu" linkinden alınmaktadır. İlgili bölümde "Zafiyet Bildirim Politikası" da bulunmaktadır. Politika incelenmesini müteakip " CVE Başvuru Formu" doldurularak bildirimde bulunulabilmektedir. Başvurunuz tamamlandığında tarafınıza bildiriminizin alındığına dair bir e-posta gönderilecektir. Tespit ettiğiniz zafiyetin istismarına yönelik açıklamalı ekran görüntülerini ilgili e-postayı yanıtlayarak iletebilirsiniz. Başvurunuzu ilettiğinizde USOM uzmanlarınca başvurunuz en kısa sürede doğrulanacak, değerlendirilecek ve ilgili firmayla iletişime geçilecektir.
Gerekli durumlarda bildirimciden ayrıntılı bilgi
talebinde bulunulmaktadır. Başvuru süreci ile ilgili bilinmesi gerekenler şunlardır;
• Zafiyet bildiriminde bulunabilmek için yaş sınırı
veya Türkiye Cumhuriyeti vatandaşı olma şartı bulunmamaktadır. • Bildirime söz konusu ürün yerli olmalıdır. • Tek merkezde kurulu (SaaS) yazılım olmamalıdır. Kullanıcılar tarafından kendi alanlarında kullanılabilir (on-premise) olmalıdır. • Yaygın olarak kullanılıyorsa desteği sona eren ürünlere de zafiyet kodu atanmaktadır. • Zafiyete ilişkin kesin kanıtlar iletilmelidir. • CVE kaydında "İtibar" kısmında bildirimci talep ederse ismi paylaşılmaktadır.
• "İtibar" kısmında firma adı paylaşılabilir, takma
isimler kabul edilmemektedir. • Zafiyet giderme ve CVE tahsis sürecinde bildirimci sürekli bilgilendirilmektedir.
• Paylaşılan CVE kayıtları
https://www.usom.gov.tr/bildirim sayfasında "Güvenlik Bildirimleri" bölümünden takip edilebilir. Sorularınız için: cve@usom.gov.tr iletisim@usom.gov.tr