漏洞披漏

我们一直将构筑并全面实施“端到端的全球网络安全保障体系”作为公司的重要发展战略之一,并从政策、组织、流程、管理、技术和规范等方面建立可持续、可信赖的漏洞管理体系。

我们鼓励发现潜在安全风险/漏洞的用户、合作伙伴、供应商等主动将与产品、解决方案相关的安全漏洞,通过Email向我们提报(邮箱:service@senergytec.com)。为了便于验证和定位漏洞,请尽量在邮件中包含但不限于以下内容:

    • 组织/称呼和联系方式;
    • 潜在的安全风险/漏洞描述;
    • 技术细节(例如系统配置,定位方法,Exploit的描述/截图,样例抓包,PoC,问题重现的步骤等);
    • 提报安全风险/漏洞所在的产品、型号、软件/固件版本;
    • 可能的漏洞披露计划;
    • 对于任何上报的疑似漏洞,我们将与产品团队一起分析/验证漏洞,以确定修补方案的实际性与提供可靠、及时的修补方案。

处理机制

我们会严格控制漏洞信息的范围,将之限制在仅处理漏洞的相关人员之间传递;同时也要求漏洞上报者对此漏洞进行保密,直到对外公开披露。

我们对外披露安全漏洞采用如下两种形式:

    • 安全通告:SA(Security Advisory),安全通告包含漏洞严重等级、业务影响和修补方案等信息,用以传递漏洞修补方案。安全通告(SA)用于发布产品直接相关的漏洞信息及修补方案。
    • 安全公告:SN(Security Notice),安全公告包含对产品公开安全话题的回应(含漏洞和非漏洞相关话题)。安全公告(SN)用于发布SSR评估为信息类 (Informational)的问题相关信息,如公共论坛(如博客或讨论列表)中讨论的信息。同时,对有可能引起公众对产品版本中漏洞的广泛关注或我们已经观察到漏洞活跃利用等特殊场景下,安全公告(SN)也作为一种回应方式,以便相关客户了解我们对此漏洞的响应进展;
    • 具体CVSSv3标准见如下链接: https://www.first.org/cvss/specification-document
    • 依据以上原则,遵循行业标准ISO/IEC 30111、ISO/IEC 29147、SO/SAE 21434,我们建立了完善的漏洞管理流程,始终秉承负责任的态度,致力于以最大程度保护客户,降低漏洞被利用的风险。

响应机制

进度更新

我们将在收到信息后的24小时内给出“电子邮件确认”,并知会处理进展。