科来 PSIRT(Colasoft Product Security Incident Response Team)负责统一接收、协调、响应和披露科来产品与组件中的网络安全漏洞,是科来网络技术股份有限公司对外发布漏洞信息的唯一官方渠道。
科来致力于提供安全可靠的产品和服务,我们的目标是及时为客户提供处理漏洞所需的信息、指导意见和风险缓解方案。
产品安全
安全通告
漏洞上报
如何报告漏洞?
科来鼓励安全研究人员、行业组织、客户和供应商与我们合作,将与科来产品和服务相关的安全漏洞报告给科来PSIRT。
邮件内容要求
邮件内容请尽量详细,包括且不限于:
- 上报人员姓名或组织名称,以及联系方式
- 漏洞描述(漏洞类型、漏洞等级、漏洞危害)
- 受影响的产品及其版本
- 潜在漏洞的技术细节、利用证明及POC
- 安全加固和修复建议
- 可能的漏洞披露计划
信息保密承诺
在整个漏洞处理的过程中,科来PSIRT会严控漏洞信息范围,仅在漏洞处置相关人员之间传递;同时也请求上报者在我们的客户获得完整的解决方案前,对此漏洞信息进行保密。
漏洞响应机制
科来PSIRT按照漏洞处理流程对上报的潜在漏洞进行处理。科来重视产品和服务的漏洞管理,支持负责任的漏洞披露和处理过程,尊重每一个安全研究人员的研究结果,对上报的每个安全问题都有专人进行跟进、分析和处理,并及时给予答复,确保及时处置响应。
漏洞响应流程
漏洞感知
主动监控和接收漏洞上报者上报的潜在安全漏洞和问题,同时和漏洞上报者保持联系。
漏洞验证
验证潜在安全漏洞和问题是否影响公司产品安全,并评估风险,确定漏洞等级。科来PSIRT使用通用漏洞评分系统(CVSS3.1)对漏洞评分。
漏洞修复
制定漏洞风险缓解和修复方案,验证漏洞修复效果,给出产品升级包或补丁。
漏洞披露
在规避方案、补丁可用(或发布新版本)的情况下,披露漏洞信息。
问题改善
漏洞披露后,监控补救措施的有效性,收集客户反馈的问题和建议,必要时对补丁包/升级包更新,同时,科来将持续改善产品开发和漏洞处理流程。
数据保护承诺
整个漏洞处理过程,科来PSIRT会严格控制漏洞信息的范围,将之限制在仅处理漏洞的相关人员之间传递;同时也请求漏洞上报者在客户获得完整的解决方案前,对此漏洞信息进行保密。
科来将基于法律合规要求对所获取的漏洞数据采取必要、合理的保护措施。除非受影响客户明确提出要求或法律规定,科来不会主动向其他方共享或披露上述数据。