銳捷重視產品和服務的漏洞管理,支持負責任的漏洞披露和處理過程,尊重每一個安全研究人員的研究結果,對上報的每個安全問題都有專人進行跟進、分析和處理,并及時給予答復,確保及時處置響應。
漏洞響應流程
漏洞感知:主動監控和接收漏洞上報者上報的潛在安全漏洞和問題,同時和漏洞上報者保持聯系。
漏洞驗證:驗證潛在安全漏洞和問題是否影響公司產品安全,并評估風險,確定漏洞等級。 銳捷PSIRT使用通用漏洞評分系統(CVSS3.1)對漏洞評分,點擊查看
具體評分標準。
漏洞修復:制定漏洞風險緩解和修復方案,驗證漏洞修復效果,給出產品升級包或補丁。
漏洞披露:在規避方案、補丁可用(或發布新版本)的情況下,披露漏洞信息。
問題改善:漏洞披露后,監控補救措施的有效性,收集客戶反饋的問題和建議,必要時對補丁包/升級包更新,同時,銳捷將持續改善產品開發和漏洞處理流程。
整個漏洞處理過程,銳捷PSIRT會嚴格控制漏洞信息的范圍,將之限制在僅處理漏洞的相關人員之間傳遞;同時也請求漏洞上報者在客戶獲得完整的解決方案前,對此漏洞信息進行保密。
銳捷將基于法律合規要求對所獲取的漏洞數據采取必要、合理的保護措施。除非受影響客戶明確提出要求或法律規定,銳捷不會主動向其他方共享或披露上述數據。
文檔評價
