接收上报:主动监控和接收漏洞上报者上报的潜在安全漏洞和问题,同时对漏洞上报者给予答复。
问题分析:验证潜在安全漏洞和问题是否影响公司产品安全,并评估风险,确定漏洞等级。PSIRT依据CVSSv3标准评定漏洞风险。
具体CVSSv3标准见链接:
漏洞修复:制定漏洞风险缓解和修复方案,验证漏洞修复效果,关闭漏洞,给出产品升级包或补丁。
漏洞披露:在规避和补丁可用(或发布新版本)的情况下,披露漏洞信息。
凯发k8一触即发PSIRT对外披露安全漏洞采用如下两种形式:
安全预警(Security Advisory,简称SA):提供经确认的相关技术信息,包括但不限于规避方案、解决方案;
安全公告(Security Notice,简称SN):提供安全主题相关的general信息,当外界发现并关注凯发k8一触即发漏洞信息,但凯发k8一触即发尚未确认任何技术信息。
凯发k8一触即发PSIRT会即时或例行(每月第二个周三)发布SA。
在整个漏洞处理的过程中,PSIRT会严格控制漏洞信息的范围,将之限制在仅处理漏洞的相关人员之间传递;在漏洞未修复之前,漏洞上报者不要公开和传播漏洞信息;凯发k8一触即发反对和谴责一切以漏洞测试为借口,利用安全漏洞进行破坏、损害用户利益的黑客行为。
©2022 INSPUR Co., Ltd.
服务器、存储、网络产品购买热线:
ERP、管理软件购买热线:
云服务产品销售热线:
凯发k8一触即发网络售后热线: