产品安全漏洞响应策略

漏洞上报

漏洞响应流程

漏洞上报

安全漏洞是指在系统设计、部署、运营或管理中，可被利用于违规系统安全策略的缺陷或弱点

安全漏洞上报者可以通过email（PSIRT@kunlunit.com）提交昆仑技术相关的潜在安全漏洞，为了便于验证和定位漏洞，请在邮件中包含但不限于以下内容：

1、组织和联系方式
2、受影响的产品或解决方案及其版本
3、潜在漏洞的描述
4、技术细节（例如系统配置，定位方法， Exploit的描述，样例抓包，POC，问题重现的步骤等）
5、被公开exploit的信息
6、可能的漏洞披露计划

昆仑技术PSIRT依据漏洞响应流程对上报的潜在安全漏洞进行处理，有关昆仑技术安全漏洞处理流程，请参阅漏洞响应流程。

昆仑技术PSIRT专注于接收所有昆仑技术产品相关的漏洞；对于昆仑技术产品的其他非安全相关的问题（如产品配置、补丁获取和现网漏洞修复支持等），可直接联系昆仑技术TAC（Henan Kunlun Technical Assistance Center）获取相关技术支持。昆仑技术TAC服务热线：400-080-9000。

漏洞响应流程

在整个漏洞处理的过程中，昆仑技术PSIRT会严格控制漏洞信息的范围，将之限制在仅处理漏洞的相关人员之间传递；同时也要求漏洞上报者对此漏洞进行保密，直到昆仑技术公司对外公开安全通告。

漏洞感知
昆仑技术PSIRT接收和收集产品的疑似漏洞，并会在收到漏洞的7个自然日内对漏洞上报者给予答复。
漏洞验证和确认
根据漏洞信息验证潜在安全漏洞和问题是否影响公司产品安全，给出评估风险和漏洞等级。并排查影响范围；昆仑技术PSIRT使用通用评分系统（CVSSv3）对漏洞评分。
漏洞修复
制定漏洞缓解措施和修复方案，按照内部修复流程提示产品升级包或者补丁版本。
漏洞披露
在规避措施或者补丁发布后，发布漏洞修复信息，支撑客户评估漏洞对现网的实际风险。
漏洞反馈
漏洞披露后，监控修复方案的有效性，结合客户意见和改进建议，必要时对补丁包/升级包进行更新。

通常，昆仑技术公司对外发布漏洞信息及修补方案采用如下三种形式：

安全公告（Security Notice，简写SN）：用以快速回应公众即将曝光或已经曝光的昆仑技术产品疑似漏洞或产品安全话题。
安全通告（Security Advisory，简写SA）：安全通告包含漏洞严重等级、业务影响和修补方案等信息，用以传递漏洞修补方案。安全通告（SA）用于发布昆仑技术产品直接相关的安全漏洞信息及修补方案。
版本/补丁说明书（Release Note，简写RN）：作为产品版本/补丁发布的配套交付件的一部分，版本/补丁说明书包含已修补的漏洞信息。