- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
安全漏洞是破壞設備/軟件的機密性、完整性、可用性的特殊缺陷問題,為減少安全漏洞對用戶的影響、傷害,最大程度降低漏洞帶來的風險,H3C公司從策略、流程、組織、管理、規範和技術等方麵建立了完備的漏洞管理體係,鼓勵漏洞研究人員、業界組織、客戶和供應商等將疑似漏洞報告給H3C PSIRT(H3C Product Security Incident Response Team),共同應對漏洞的挑戰。H3C PSIRT將遵循ISO/IEC 30111、ISO/IEC 29147等行業標準處理產品的疑似漏洞。
一 漏洞處理流程
H3C公司重視產品開發和維護的漏洞管理,建立完整的漏洞處理流程,確保在發現漏洞時及時響應,提升產品安全性。
1. 漏洞獲取:接受和收集產品的疑似漏洞;
H3C公司鼓勵漏洞研究人員、業界組織、客戶和供應商等將疑似漏洞報告給H3C PSIRT。
您可以按照模板通過Email(電子郵箱:[email protected])提交。H3C PSIRT對接收到的任何疑似漏洞會在第一時間進行確認,將在收到報告的48小時內和您聯係。
鑒於漏洞信息的敏感性,建議您采用PGP(Pretty Good Privacy)對發送至[email protected]的信息進行加密。我們的PGP公鑰可點擊這裏獲得。
同時,公司主動對知名公開漏洞庫、開源社區、安全網站等信息源進行監測,及時感知產品相關的漏洞信息,排查產品是否受影響。
2. 漏洞評估:驗證並確認疑似漏洞的有效性和影響範圍、影響程度;
對於任何上報給PSIRT的疑似漏洞,PSIRT將與產品團隊一起分析/驗證漏洞,根據實際影響進行漏洞嚴重等級評估。
3. 漏洞修複:製定並落實漏洞修複方案;
通過版本、補丁方式盡快修複漏洞。
4. 安全公告:向客戶發布漏洞修複信息;
為盡可能降低漏洞風險和傷害,盡快發布安全公告,告知客戶修複方法、規避方法等信息。
5. 持續改進:積累技術、經驗,持續改進,提升產品的安全性。
基於持續優化的原則,公司將在提升產品安全性、漏洞處理流程等方麵持續改進。
漏洞處理的過程中, PSIRT僅在處理漏洞的相關人員之間傳遞漏洞信息,嚴格控製漏洞信息傳遞範圍;同時也請報告者在我們的客戶獲得完整的解決方案前,對此漏洞信息進行保密。
二 漏洞嚴重等級評估
公司采用業界通用標準CVSS(Common Vulnerability Scoring System,通用漏洞評分係統)對產品中的疑似漏洞進行嚴重等級評估,將漏洞分為極危(Critical)、高危(High)、中危(Medium)、低危(Low)四個級別。
三 第三方軟件漏洞
對如下條件的第三方軟件漏洞,公司會通過SA(Security Advisory,安全公告)為受影響客戶提供風險決策和修複、規避支持。
· CVSS 分數為7.0及以上。
· 該漏洞引起了公眾、業界的廣泛關注。
· 該漏洞已有公開的可用的Exploit(漏洞利用程序),並可能在被活躍利用。
四 發布漏洞信息公告
公司對外發布漏洞信息及修複方案采用如下形式:
版本/補丁說明書包含已修補的漏洞信息。作為產品版本/補丁發布的配套交付件的一部分。
五 基於產品生命周期的漏洞管理
漏洞管理基於產品/軟件版本的生命周期裏程碑。停產的產品,仍然接收漏洞報告,並修複、公告;停止服務的產品,將不再進行漏洞管理,不再接收、修複、公告相關漏洞。
H3C公司產品生命周期管理策略://www.yolosolive.com/cn/Service/Policy_Trends/Product_Periods/
六 免責&保留權限
本文的策略描述不構成保證或承諾,也不能構成任何合同的一部分,H3C可酌情對上述策略進行調整。
H3C保留隨時更改或更新本文檔的權利,我們會在必要時更新本策略說明以增加透明度或更加積極地響應。
在發布本策略聲明的更改時,我們將修訂本策略底部的“更新日期”。
更新日期 2023.05.23
支持
