漏洞处理流程 - 烽火通信官网

PSIRT

漏洞处理流程

漏洞上报

安全通告

安全公告

漏洞处理流程

烽火通信致力于提升烽火通信产品的安全性，为客户提供及时的信息、指导和缓解选项，以便更大限度地降低与安全漏洞相关的风险。烽火通信重视产品的漏洞管理，并遵循ISO/IEC29147:2018原则处理烽火通信产品安全漏洞。

01漏洞接收：

接收烽火通信产品的疑似漏洞信息；

02漏洞确认：

烽火通信PSIRT团队确认疑似漏洞是否存在，并确定漏洞的影响范围；

03漏洞修复：

制定计划修复漏洞；

04漏洞披露：

面向用户发布漏洞补丁信息；

05闭环改进：

结合用户意见和实践持续改进。

在整个漏洞处理的过程中，烽火通信PSIRT会严格控制漏洞信息的范围，将之限制在仅处理漏洞的相关人员之间传递；同时也要求漏洞上报者对此漏洞进行保密，直到烽火通信对外公开公告。

漏洞严重等级评估

烽火通信采用业界通用标准对产品中的疑似漏洞进行严重等级评估；以CVSS（Common Vulnerability Scoring System，通用漏洞评分系统）为例，该模型包括三个指标组：基础指标组、时间指标组和环境指标组。烽火将提供基础漏洞评分，在某些情况下，将提供时间漏洞评分和典型场景下的环境漏洞评分。烽火鼓励最终用户根据其网络实际情况评估环境漏洞评分，作为此漏洞在用户特定环境最终漏洞评分，支撑用户漏洞消减方案部署决策。

烽火通信使用安全严重等级（SSR：Security Severity Rating）作为更简单的分级方法，SSR基于漏洞严重等级评估综合得分进行等级分类，将漏洞分为严重（Critical）、高（High）、中（Medium）、低（Low）以及信息类（Informational）共五个级别。

漏洞信息发布

通常，我们会通过烽火通信安全通告向客户传达补救措施，包括如下两种形式：

安全公告（Security Notice，简称SN）：提供安全主题相关的信息，当外界发现并关注烽火产品漏洞信息，但烽火通信尚未确认任何技术信息；

安全预警（Security Advisory，简称SA）：提供经确认的相关技术信息，包括但不限于规避方案、解决方案。

免责&保留权限

本文如有多个语种的版本，不同语种如有差异，以“中文”版本为准。本文的策略描述不构成保证或承诺，也不能构成任何合同的一部分，烽火通信可酌情对上述策略进行调整。

烽火通信保留随时更改或更新本文档的权利。

更新时间2023年12月12日