漏洞响应流程
-
智邦PSIRT严格遵照有关ISO/IEC 29147,ISO/IEC 30111的要求开展漏洞相应。通过漏洞收集/漏洞分析/漏洞对策/漏洞发布 四个步骤逐步进行漏洞的解析和应对。
-
有关漏洞的所有信息均被视为机密信息,并且在信息尚未公开之时,只能在智邦与报告方之间共享信息,直到获得修复方案并执行安全通告发布为止。
漏洞响应流程:
- 漏洞收集:通过内部发掘或外部信息上报,启动应急响应流程同时在收到漏洞的3个自然日内对漏洞上报者给予答复;通知业务部门,协助找出安全漏洞涉及的相关产品范围。
- 漏洞测试/分析:对收到的漏洞内容反馈软件研发执行必要的安全测试,验证潜在安全漏洞对于产品安全的影响度,给出风险评估通过通用漏洞评分系统(CVSS)对漏洞分级评分。漏洞评分方式详见:https://www.first.org/cvss/calculator/3.1
- 漏洞对策/修复方案:软件研发制订漏洞缓解措施和修复方案,验证方案的执行性和可靠性,释放产品升级包或补丁。
- 漏洞发布:在产品升级包或补丁确认可修复的情况下,漏洞发布发布安全通告漏洞修复信息,反馈客户和支持产品的升级。业务部门通过邮件或者通告链接,转达漏洞修复情况,通知客户及时进行修复。
- 漏洞反馈:漏洞信息发布后,收集内外部反馈的意见和建议,根据反馈情况必要时对方案或补丁包进行更新。
如何上报漏洞:
安全漏洞:漏洞通常是指产品在使用中被发现系统、组件、服务等存在的影响安全策略或者违反安全策略的行为和缺陷,可被攻击者在未授权的情况下进行访问或者破坏的操作。 如果您在任何智邦产品中发现安全漏洞,我们恳请您尽快向我们报告。及时识别安全漏洞对于缓解客户的潜在风险至关重要。我们鼓励安全研究人员与我们合作,将与智邦产品相关的安全漏洞主动报告给智邦安全事件响应团队 (PSIRT),智邦 PSIRT负责协调相关的响应和披露事项。同时在智邦未发布正式的安全通告前,请漏洞上报人员务必对漏洞细节保密。 漏洞上报途径:智邦 PSIRT 邮箱 PSIRT@accton.com.cn
漏洞发布政策:
当漏洞事件发生后,智邦会通过发布安全声明,安全通告这两种方式作为正式沟通渠道反馈说明漏洞影响的详细情况,产品范围,修复方案说明等信息。安全声明(Security Notice,缩写SN):
提供涉及安全漏洞内容的一般信息,当外界发现并关注智邦产品漏洞,但智邦尚未得到内部技术方面的确认情况下,发布声明说明目前的响应进度。安全通告(Security Advisory,缩写SA):
当漏洞修复方案确认且已有可执行修复的相应方法后,发布有关漏洞的安全通告。提供经确认的修复信息,方案包括但不限于规避方案、解决方案。免责声明:
智邦并不保证本政策所载的内容和信息的准确、完整、充分和可靠性,且明确声明不对这些内容和信息做出任何明示或默示的保证和担保、包括但不限于适用于某种特定目的、没有侵犯第三方权利等。使用和解释该政策及其相关内容所产生的一切法律责任由您自行承担。 智邦可以在没有任何通知或提示的情况下,随时对本政策所注的内容和信息进行修改。