bg line bg line

漏洞响应流程

在整个漏洞处理的过程中,PSIRT会严格控制漏洞信息的范围,将之限制在仅处理漏洞的相关人员之间传递;同时也要求漏洞上报者对此漏洞进行保密。
上海海思会在官网采用如下两种形式对外披露安全漏洞:
安全公告(SN):
Security Notice,用以快速回应公众即将曝光或已经曝光的上海海思产品疑似漏洞或产品安全话题。
安全通告(SA):
Security Advisory,针对特定漏洞的安全通告,包含漏洞严重等级、业务影响和修补方案等信息。向客户CSIRT组织,或具备类似功能的管理组织传递可执行的漏洞修补方案,支撑客户进行现网漏洞风险决策。
根据ISO 29147/30111标准,建立了完整的漏洞处理流程。处理流程如下:

漏洞感知
当上海海思PSIRT收到潜在漏洞报告时,上海海思PSIRT确认收到报告,并通知相应的产品团队对该潜在漏洞进行分析。
验证漏洞
确认潜在漏洞。上海海思使用通用漏洞评分系统(CVSS) https://www.first.org/cvss/的版本3.1,对漏洞严重等级进行评估,并确定处理优先级。
制定漏洞修补方案
对受影响产品开发修复漏洞补丁或版本,并进行充分测试以确保修补方案的质量。
发布
上海海思通常以指导书、补丁或软件版本向客户发布修补方案,并以SA或版本发布说明的方式通知客户,客户据此提供的内容进风险决策。
参与漏洞修补后活动
上海海思从客户收集反馈信息,并在必要时更新修补方案。上海海思TAC全球支持部门提供补丁下载,更新及答疑服务。

上海海思并不保证本政策所载的内容和信息的准确、完整、充分和可靠性,并且明确声明不对这些内容和信息作出任何明示或默示的保证和担保、包括但不限于适用于某种特定目的、没有侵犯第三方权利等。使用和解释该政策及其相关内容所产生的一切法律责任由您自行承担。上海海思可以在没有任何通知或提示的情况下随时对本政策所载的内容和信息进行修改。