漏洞响应流程

上报
主动监测和接收安全问题和漏洞,启动应急处置流程,同时对漏洞上报者进行确认
验证
安全实验室和相关产品对安全问题进行验证、确认,同时评估风险等级
解决
制定安全漏洞的缓解措施,相关产品针对漏洞进行修复开拓,同时制定安全预警策略
披露
在安全问题有规避措施和解决补丁的情况下,官方披露漏洞信息
反馈
收集来自相关外部客户的建议,安全实验室组织产品进行相关的改进

安全应急响应中心会严厉操纵漏洞信息的范围,将之限制在仅处置漏洞的相关人员之间传递;同时也要求漏洞上报者对此漏洞进行保密,直到对外敞开披露。

安全应急响应中心针对每个安全漏洞依据通用漏洞评分系统(CVSS)给出基础评估(Base Metrics)和时间周期评估(Temporal Metricss)。客户有需要能够依据自己的环境给出环境评估(Environmental Metrics)。

天际亚洲统一采纳CVE(Common Vulnerability and Exposures)和CNCVE引用第三方漏洞信息。

条评论