安全通告
一、漏洞上報

安全漏洞是指在系統設計、部署、運營或管理中,可被利用于違反系統安全策略的缺陷或弱點;

安全漏洞上報者可以通過email提交廣州邦訊相關的潛在安全漏洞。因為漏洞信息比較敏感,故我們強烈建議當向廣州邦訊 PSIRT 上報一個潛在的安全漏洞時,請使用我們的PGP公鑰(密匙標識9E90A0E0; PGP fingerprint: FD5B E2A7 B893 04FB 8FC9 8749 FEF7 B5CD 9E90 A0E0)進行加密,并直接發送到[email protected],為了便于驗證和定位漏洞,請在郵件中包含但不限于以下內容:

  • 組織和聯系方式
  • 受影響的產品或解決方案及其版本
  • 潛在漏洞的描述
  • 技術細節(例如系統配置,定位方法, Exploit的描述,樣例抓包,POC,問題重現的步驟等)
  • 被公開exploit的信息
  • 可能的漏洞披露計劃
  • 二、漏洞響應流程

    在整個漏洞處理的過程中,PSIRT會嚴格控制漏洞信息的范圍,將之限制在僅處理漏洞的相關人員之間傳遞;同時也要求漏洞上報者對此漏洞進行保密,直到廣州邦訊對外公開SA;

    廣州邦訊對外披露安全漏洞采用如下兩種形式:

    SA(Security Advisory):提供經確認的相關技術信息,包括但不限于規避方案、解決方案;

    SN(Security Notice):提供安全主題相關的general信息,當外界發現并關注廣州邦訊漏洞信息,但廣州邦訊尚未確認任何技術信息。

    在官方網站公布同時,會在將txt版本在知名安全論壇、漏洞庫或郵件列表中進行發布,但后續SA的更新將不再同步更新,而僅會在官方網站上進行實時更新; PSIRT采用CVSSv3標準,對每個SA,給出漏洞的Base Score和Temporal Score,和攻擊矢量,而具體的Environment Score由客戶根據自己的環境自行給出。具體CVSSv3標準見如下鏈接:

    https://www.first.org/cvss/specification-document

    廣州邦訊統一通過CVE(Common Vulnerability and Exposures)對廣州邦訊漏洞披露網站之外的漏洞信息進行引用。 廣州邦訊PSIRT在每個月的第二個周三例行發布安全公告,但廣州邦訊公司保留隨時發布安全公告的權利;

    廣州邦訊并不保證本政策所載的內容和信息的準確、完整、充分和可靠性,并且明確聲明不對這些內容和信息作出任何明示或默示的保證和擔保、包括但不限于適用于某種特定目的、沒有侵犯第三方權利等。使用和解釋該政策及其相關內容所產生的一切法律責任由您自行承擔。廣州邦訊可以在沒有任何通知或提示的情況下隨時對本政策所載的內容和信息進行修改。

    ?

    客服郵箱:[email protected]

    粵公網安備 44010602001762號

    版權所有@2015 廣州邦訊信息系統有限公司 粵B2-20030345號-1
    排球比赛图片