产品安全漏洞响应策略

漏洞上报

漏洞响应流程

漏洞上报

安全漏洞是指在系统设计、部署、运营或管理中，可被利用于违规系统安全策略的缺陷或弱点

安全漏洞上报者可以通过email提交超聚变相关的潜在安全漏洞。因为漏洞信息比较敏感，故我们强烈建议当向超聚变PSIRT上报一个潜在的安全漏洞时，请使用我们的PGP公钥（点击下载）（密匙ID：440EE2E2 指纹：3AD5750FEC87593D1FC49F3677A7BC15440EE2E2）进行加密，并直接发送到PSIRT@xfusion.com，为了便于验证和定位漏洞，请在邮件中包含但不限于以下内容：

1、组织和联系方式
2、受影响的产品或解决方案及其版本
3、潜在漏洞的描述
4、技术细节（例如系统配置，定位方法， Exploit的描述，样例抓包，POC，问题重现的步骤等）
5、被公开exploit的信息
6、可能的漏洞披露计划

超聚变PSIRT依据漏洞响应流程对上报的潜在安全漏洞进行处理，有关超聚变安全漏洞处理流程，请参阅漏洞响应流程。

超聚变PSIRT专注于接收所有超聚变产品相关的漏洞；对于超聚变产品的其他非安全相关的问题（如产品配置、补丁获取和现网漏洞修复支持等），可直接联系超聚变TAC（XFusion Technical Assistance Center）获取相关技术支持。超聚变TAC服务热线：400-009-8999。

漏洞响应流程

在整个漏洞处理的过程中，超聚变PSIRT会严格控制漏洞信息的范围，将之限制在仅处理漏洞的相关人员之间传递；同时也要求漏洞上报者对此漏洞进行保密，直到超聚变公司对外公开安全通告。

漏洞感知
超聚变PSIRT接收和收集产品的疑似漏洞，并会在收到漏洞的7个自然日内对漏洞上报者给予答复。
漏洞验证和确认
根据漏洞信息验证潜在安全漏洞和问题是否影响公司产品安全，给出评估风险和漏洞等级。并排查影响范围；超聚变PSIRT使用通用评分系统（CVSSv3）对漏洞评分。
漏洞修复
制定漏洞缓解措施和修复方案，按照内部修复流程提示产品升级包或者补丁版本。
漏洞披露
在规避措施或者补丁发布后，发布漏洞修复信息，支撑客户评估漏洞对现网的实际风险。
漏洞反馈
漏洞披露后，监控修复方案的有效性，结合客户意见和改进建议，必要时对补丁包/升级包进行更新。

通常，超聚变公司对外发布漏洞信息及修补方案采用如下三种形式：

安全公告（Security Notice，简写SN）：用以快速回应公众即将曝光或已经曝光的超聚变产品疑似漏洞或产品安全话题。
安全通告（Security Advisory，简写SA）：安全通告包含漏洞严重等级、业务影响和修补方案等信息，用以传递漏洞修补方案。安全通告（SA）用于发布超聚变产品直接相关的安全漏洞信息及修补方案。
版本/补丁说明书（Release Note，简写RN）：作为产品版本/补丁发布的配套交付件的一部分，版本/补丁说明书包含已修补的漏洞信息。

超聚变统一通过CVE（Common Vulnerability and Exposures）对超聚变漏洞披露网站之外的漏洞信息进行引用。超聚变PSIRT会即时或例行（每周三）发布安全通告。