漏洞接收
主动监控和接收安全漏洞和问题,启动漏洞响应流程,同时对漏洞上报者进行确认。
漏洞验证
验证是否漏洞或安全问题,若是则同时评估安全风险等级。
漏洞处置
制定漏洞风险修复或缓解方案,同时确定安全预警策略。
漏洞披露
在规避曝光风险和补丁可用的情况下,披露漏洞信息。
问题反馈
收集和总结来自内外部的意见,其中重要案例反馈给公司研发部门,改进产品开发。
在整个漏洞处理的过程中,安天SRC会严格控制漏洞信息的范围,将之限制在仅处理漏洞的相关人员之间传递;同时也要求漏洞上报者对此漏洞进行保密,直到安天公司对外公开。
安天公司对外披露安全漏洞采用如下三种形式:
- 安全通告:针对安天产品特定漏洞的安全通告,包含漏洞严重等级、业务影响和修补方案等信息。传递可执行的漏洞修补方案,支撑客户进行现网漏洞风险决策。
- 安全预警:针对系统、第三方服务等通用漏洞的安全通告,包含漏洞严重等级、业务影响和修补方案等信息。传递可执行的漏洞修补方案,支撑客户进行现网漏洞风险决策。
- 安全公告:用以快速回应公众即将曝光或已经曝光的安天产品疑似漏洞或产品安全话题。
在官方网站公布同时,会在将txt版本在知名安全论坛、漏洞库或邮件列表中进行发布,但后续安全通告的更新将不再同步更新,而仅会在官方网站上进行实时更新; SRC采用CVSSv3标准,对每个安全通告,给出漏洞的Base Score和Temporal Score,和攻击矢量,而具体的Environment Score由客户根据自己的环境自行给出。具体CVSSv3标准见如下链接:https://www.first.org/cvss/specification-document
安天统一通过CVE(Common Vulnerability and Exposures)对安天漏洞披露网站之外的漏洞信息进行引用。 安天SRC会即时或例行发布安全通告。
安天并不保证本政策所载的内容和信息的准确、完整、充分和可靠性,并且明确声明不对这些内容和信息作出任何明示或默示的保证和担保、包括但不限于适用于某种特定目的、没有侵犯第三方权利等。使用和解释该政策及其相关内容所产生的一切法律责任由您自行承担。安天可以在没有任何通知或提示的情况下随时对本政策所载的内容和信息进行修改。