上報
主動監(jiān)測和接受安全問題和漏洞,啟動應(yīng)急處理流程,同時對漏洞上報者進行確認(rèn)
驗證
安全實驗室和相關(guān)產(chǎn)品對安全問題進行驗證、確認(rèn),同時評估風(fēng)險等級
解決
制定安全漏洞的緩解措施,相關(guān)產(chǎn)品針對漏洞進行修復(fù)開發(fā),同時制定安全預(yù)警策略
披露
在安全問題有規(guī)避措施和解決補丁的情況下,官方披露漏洞信息
反饋
收集來自相關(guān)外部客戶的建議,安全實驗室組織產(chǎn)品進行相關(guān)的改進
安全應(yīng)急響應(yīng)中心會嚴(yán)格控制漏洞信息的范圍,將之限制在僅處理漏洞的相關(guān)人員之間傳遞;同時也要求漏洞上報者對此漏洞進行保密,直到對外公開披露。
安全應(yīng)急響應(yīng)中心針對每個安全漏洞根據(jù)通用漏洞評分系統(tǒng)(CVSS)給出基礎(chǔ)評估(Base Metrics)和時間周期評估(Temporal Metricss)。客戶有需要可以根據(jù)自己的環(huán)境給出環(huán)境評估(Environmental Metrics)。
宇視科技統(tǒng)一采用CVE(Common Vulnerability and Exposures)和CNCVE引用第三方漏洞信息。
浙公網(wǎng)安備 33010802004032號
