安全通告
及時了解最新的安全漏洞信息和解決方案
科來 PSIRT(Colasoft Product Security Incident Response Team)負責(zé)統(tǒng)一接收、協(xié)調(diào)、響應(yīng)和披露科來產(chǎn)品與組件中的網(wǎng)絡(luò)安全漏洞,是科來網(wǎng)絡(luò)技術(shù)股份有限公司對外發(fā)布漏洞信息的唯一官方渠道。
科來致力于提供安全可靠的產(chǎn)品和服務(wù),我們的目標是及時為客戶提供處理漏洞所需的信息、指導(dǎo)意見和風(fēng)險緩解方案。
產(chǎn)品安全
安全通告
漏洞上報
如何報告漏洞?
科來鼓勵安全研究人員、行業(yè)組織、客戶和供應(yīng)商與我們合作,將與科來產(chǎn)品和服務(wù)相關(guān)的安全漏洞報告給科來PSIRT。
郵件內(nèi)容要求
郵件內(nèi)容請盡量詳細,包括且不限于:
- 上報人員姓名或組織名稱,以及聯(lián)系方式
- 漏洞描述(漏洞類型、漏洞等級、漏洞危害)
- 受影響的產(chǎn)品及其版本
- 潛在漏洞的技術(shù)細節(jié)、利用證明及POC
- 安全加固和修復(fù)建議
- 可能的漏洞披露計劃
信息保密承諾
在整個漏洞處理的過程中,科來PSIRT會嚴控漏洞信息范圍,僅在漏洞處置相關(guān)人員之間傳遞;同時也請求上報者在我們的客戶獲得完整的解決方案前,對此漏洞信息進行保密。
漏洞響應(yīng)機制
科來PSIRT按照漏洞處理流程對上報的潛在漏洞進行處理。科來重視產(chǎn)品和服務(wù)的漏洞管理,支持負責(zé)任的漏洞披露和處理過程,尊重每一個安全研究人員的研究結(jié)果,對上報的每個安全問題都有專人進行跟進、分析和處理,并及時給予答復(fù),確保及時處置響應(yīng)。
漏洞響應(yīng)流程
漏洞感知
主動監(jiān)控和接收漏洞上報者上報的潛在安全漏洞和問題,同時和漏洞上報者保持聯(lián)系。
漏洞驗證
驗證潛在安全漏洞和問題是否影響公司產(chǎn)品安全,并評估風(fēng)險,確定漏洞等級。科來PSIRT使用通用漏洞評分系統(tǒng)(CVSS3.1)對漏洞評分。
漏洞修復(fù)
制定漏洞風(fēng)險緩解和修復(fù)方案,驗證漏洞修復(fù)效果,給出產(chǎn)品升級包或補丁。
漏洞披露
在規(guī)避方案、補丁可用(或發(fā)布新版本)的情況下,披露漏洞信息。
問題改善
漏洞披露后,監(jiān)控補救措施的有效性,收集客戶反饋的問題和建議,必要時對補丁包/升級包更新,同時,科來將持續(xù)改善產(chǎn)品開發(fā)和漏洞處理流程。
數(shù)據(jù)保護承諾
整個漏洞處理過程,科來PSIRT會嚴格控制漏洞信息的范圍,將之限制在僅處理漏洞的相關(guān)人員之間傳遞;同時也請求漏洞上報者在客戶獲得完整的解決方案前,對此漏洞信息進行保密。
科來將基于法律合規(guī)要求對所獲取的漏洞數(shù)據(jù)采取必要、合理的保護措施。除非受影響客戶明確提出要求或法律規(guī)定,科來不會主動向其他方共享或披露上述數(shù)據(jù)。