中文字幕+乱码+中文乱码漏洞处理流程

PSIRT

漏洞处理流程

漏洞上报

安全通告

安全公告

漏洞处理流程

烽火(huo)通信致(zhi)力于提(ti)升烽火(huo)通信产品(pin)的(de)安全(quan)性(xing)，为客户提(ti)供及时的(de)信息(xi)、指导和(he)缓(huan)解选(xuan)项(xiang)，以便更大(da)限度地降低与安全(quan)漏(lou)(lou)洞相(xiang)关的(de)风险。烽火(huo)通信重视产品(pin)的(de)漏(lou)(lou)洞管理(li)，并(bing)遵循ISO/IEC29147:2018原(yuan)则(ze)处理(li)烽火(huo)通信产品(pin)安全(quan)漏(lou)(lou)洞。

01漏洞接收：

接(jie)收烽火通信产品的疑似(si)漏洞信息；

02漏洞确认：

烽火通信PSIRT团队确认疑似漏洞是否存在(zai)，并确定漏洞的影响范围；

03漏洞修复：

制定计划修复漏洞；

04漏洞披露：

面向(xiang)用户发布漏洞补丁(ding)信息；

05闭环改进：

结(jie)合用户(hu)意见(jian)和实践持续改进。

在整(zheng)个漏(lou)(lou)(lou)洞(dong)(dong)处理(li)的过程中，烽火通信PSIRT会严(yan)格控制漏(lou)(lou)(lou)洞(dong)(dong)信息的范围，将之限(xian)制在仅(jin)处理(li)漏(lou)(lou)(lou)洞(dong)(dong)的相关(guan)人员之间传(chuan)递；同时也要求(qiu)漏(lou)(lou)(lou)洞(dong)(dong)上报者对此漏(lou)(lou)(lou)洞(dong)(dong)进行保密(mi)，直到(dao)烽火通信对外公(gong)开公(gong)告。

漏洞严重等级评估

烽火通信采用(yong)(yong)业界通用(yong)(yong)标准对(dui)产品中的疑(yi)似漏(lou)(lou)(lou)洞进行严(yan)重等级(ji)评估；以CVSS（Common Vulnerability Scoring System，通用(yong)(yong)漏(lou)(lou)(lou)洞评分(fen)系统）为(wei)(wei)例，该模型包括三个指(zhi)标组(zu)：基(ji)础指(zhi)标组(zu)、时间指(zhi)标组(zu)和(he)环境指(zhi)标组(zu)。烽火将提(ti)供基(ji)础漏(lou)(lou)(lou)洞评分(fen)，在某些情况下，将提(ti)供时间漏(lou)(lou)(lou)洞评分(fen)和(he)典型场景下的环境漏(lou)(lou)(lou)洞评分(fen)。烽火鼓励(li)最终用(yong)(yong)户(hu)(hu)根据其(qi)网络实际(ji)情况评估环境漏(lou)(lou)(lou)洞评分(fen)，作为(wei)(wei)此漏(lou)(lou)(lou)洞在用(yong)(yong)户(hu)(hu)特定环境最终漏(lou)(lou)(lou)洞评分(fen)，支撑用(yong)(yong)户(hu)(hu)漏(lou)(lou)(lou)洞消(xiao)减方案部(bu)署决策(ce)。

烽火通信(xin)使用安全严重(zhong)等级(ji)（SSR：Security Severity Rating）作为更(geng)简(jian)单的分级(ji)方(fang)法(fa)，SSR基于漏洞(dong)严重(zhong)等级(ji)评估综合得分进行(xing)等级(ji)分类，将漏洞(dong)分为严重(zhong)（Critical）、高（High）、中（Medium）、低（Low）以及信(xin)息(xi)类（Informational）共五个(ge)级(ji)别。

漏洞信息发布

通(tong)常(chang)，我们会通(tong)过烽火(huo)通(tong)信(xin)安全通(tong)告向客(ke)户传达补救(jiu)措施，包括如下两种形式：

安全公告（Security Notice，简称SN）：提供(gong)安全主题相关的信(xin)息，当(dang)外(wai)界发现并(bing)关注烽火(huo)产品漏洞信(xin)息，但(dan)烽火(huo)通信(xin)尚未确认任何技术信(xin)息；

安全预警（Security Advisory，简称SA）：提供经(jing)确认的相关技术信息(xi)，包括但不限于规避方(fang)案、解(jie)决方(fang)案。

免责&保留权限

本(ben)文(wen)(wen)如有多个语(yu)种(zhong)的(de)版本(ben)，不同语(yu)种(zhong)如有差异，以“中(zhong)文(wen)(wen)”版本(ben)为准。本(ben)文(wen)(wen)的(de)策略描述(shu)不构(gou)成保证或(huo)承诺(nuo)，也(ye)不能构(gou)成任何合同的(de)一部分(fen)，烽火通信可酌情对(dui)上述(shu)策略进(jin)行调整。

烽火通信保留随时更改或更新本文档的权利。

更新(xin)时间2023年12月12日