• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

H3C漏洞处理流程

【发布时间:2023-05-15】

安全漏洞是破坏设备/软件的机密性、完整性、可用性的特殊缺陷问题,为减少安全漏洞对用户的影响、伤害,最大程度降低漏洞带来的风险,H3C公司从策略、流程、组织、管理、规范和技术等方面建立了完备的漏洞管理体系,鼓励漏洞研究人员、业界组织、客户和供应商等将疑似漏洞报告给H3C PSIRT(H3C Product Security Incident Response Team),共同应对漏洞的挑战。H3C PSIRT将遵循ISO/IEC 30111、ISO/IEC 29147等行业标准处理产品的疑似漏洞。

一 漏洞处理流程

H3C公司重视产品开发和维护的漏洞管理,建立完整的漏洞处理流程,确保在发现漏洞时及时响应,提升产品安全性。

1. 漏洞获取:接受和收集产品的疑似漏洞;

H3C公司鼓励漏洞研究人员、业界组织、客户和供应商等将疑似漏洞报告给H3C PSIRT。

您可以按照模板通过Email(电子邮箱:psirt@h3c.com)提交。H3C PSIRT对接收到的任何疑似漏洞会在第一时间进行确认,将在收到报告的48小时内和您联系。

鉴于漏洞信息的敏感性,建议您采用PGP(Pretty Good Privacy)对发送至psirt@h3c.com的信息进行加密。我们的PGP公钥可点击这里获得。

同时,公司主动对知名公开漏洞库、开源社区、安全网站等信息源进行监测,及时感知产品相关的漏洞信息,排查产品是否受影响。

2. 漏洞评估:验证并确认疑似漏洞的有效性和影响范围、影响程度;

对于任何上报给PSIRT的疑似漏洞,PSIRT将与产品团队一起分析/验证漏洞,根据实际影响进行漏洞严重等级评估。

3. 漏洞修复:制定并落实漏洞修复方案;

通过版本、补丁方式尽快修复漏洞。

4. 安全公告:向客户发布漏洞修复信息;

为尽可能降低漏洞风险和伤害,尽快发布安全公告,告知客户修复方法、规避方法等信息。

5. 持续改进:积累技术、经验,持续改进,提升产品的安全性。

基于持续优化的原则,公司将在提升产品安全性、漏洞处理流程等方面持续改进。

漏洞处理的过程中, PSIRT仅在处理漏洞的相关人员之间传递漏洞信息,严格控制漏洞信息传递范围;同时也请报告者在我们的客户获得完整的解决方案前,对此漏洞信息进行保密。

二 漏洞严重等级评估

公司采用业界通用标准CVSS(Common Vulnerability Scoring System,通用漏洞评分系统)对产品中的疑似漏洞进行严重等级评估,将漏洞分为极危(Critical)、高危(High)、中危(Medium)、低危(Low)四个级别。

三 第三方软件漏洞

对如下条件的第三方软件漏洞,公司会通过SA(Security Advisory,安全公告)为受影响客户提供风险决策和修复、规避支持。

· CVSS 分数为7.0及以上。

· 该漏洞引起了公众、业界的广泛关注。

· 该漏洞已有公开的可用的Exploit(漏洞利用程序),并可能在被活跃利用。

四 发布漏洞信息公告

公司对外发布漏洞信息及修复方案采用如下形式:

  • 安全公告:SA(Security Advisory)

    链接:https://www.h3c.com/cn/Service/Online_Help/psirt/

  • 版本/补丁说明书:RN(Release Note)

    版本/补丁说明书包含已修补的漏洞信息。作为产品版本/补丁发布的配套交付件的一部分。

    五 基于产品生命周期的漏洞管理

    漏洞管理基于产品/软件版本的生命周期里程碑。停产的产品,仍然接收漏洞报告,并修复、公告;停止服务的产品,将不再进行漏洞管理,不再接收、修复、公告相关漏洞。

    H3C公司产品生命周期管理策略:https://www.h3c.com/cn/Service/Policy_Trends/Product_Periods/

    六 免责&保留权限

    本文的策略描述不构成保证或承诺,也不能构成任何合同的一部分,H3C可酌情对上述策略进行调整。

    H3C保留随时更改或更新本文档的权利,我们会在必要时更新本策略说明以增加透明度或更加积极地响应。

    在发布本策略声明的更改时,我们将修订本策略底部的“更新日期”。

    更新日期 2023.05.23

  • 新华三官网
    联系我们