- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
安全漏洞是破坏设备/软件的机密性、完整性、可用性的特殊缺陷问题,为减少安全漏洞对用户的影响、伤害,最大程度降低漏洞带来的风险,H3C公司从策略、流程、组织、管理、规范和技术等方面建立了完备的漏洞管理体系,鼓励漏洞研究人员、业界组织、客户和供应商等将疑似漏洞报告给H3C PSIRT(H3C Product Security Incident Response Team),共同应对漏洞的挑战。H3C PSIRT将遵循ISO/IEC 30111、ISO/IEC 29147等行业标准处理产品的疑似漏洞。
一 漏洞处理流程
H3C公司重视产品开发和维护的漏洞管理,建立完整的漏洞处理流程,确保在发现漏洞时及时响应,提升产品安全性。
1. 漏洞获取:接受和收集产品的疑似漏洞;
H3C公司鼓励漏洞研究人员、业界组织、客户和供应商等将疑似漏洞报告给H3C PSIRT。
您可以按照模板通过Email(电子邮箱:psirt@h3c.com)提交。H3C PSIRT对接收到的任何疑似漏洞会在第一时间进行确认,将在收到报告的48小时内和您联系。
鉴于漏洞信息的敏感性,建议您采用PGP(Pretty Good Privacy)对发送至psirt@h3c.com的信息进行加密。我们的PGP公钥可点击这里获得。
同时,公司主动对知名公开漏洞库、开源社区、安全网站等信息源进行监测,及时感知产品相关的漏洞信息,排查产品是否受影响。
2. 漏洞评估:验证并确认疑似漏洞的有效性和影响范围、影响程度;
对于任何上报给PSIRT的疑似漏洞,PSIRT将与产品团队一起分析/验证漏洞,根据实际影响进行漏洞严重等级评估。
3. 漏洞修复:制定并落实漏洞修复方案;
通过版本、补丁方式尽快修复漏洞。
4. 安全公告:向客户发布漏洞修复信息;
为尽可能降低漏洞风险和伤害,尽快发布安全公告,告知客户修复方法、规避方法等信息。
5. 持续改进:积累技术、经验,持续改进,提升产品的安全性。
基于持续优化的原则,公司将在提升产品安全性、漏洞处理流程等方面持续改进。
漏洞处理的过程中, PSIRT仅在处理漏洞的相关人员之间传递漏洞信息,严格控制漏洞信息传递范围;同时也请报告者在我们的客户获得完整的解决方案前,对此漏洞信息进行保密。
二 漏洞严重等级评估
公司采用业界通用标准CVSS(Common Vulnerability Scoring System,通用漏洞评分系统)对产品中的疑似漏洞进行严重等级评估,将漏洞分为极危(Critical)、高危(High)、中危(Medium)、低危(Low)四个级别。
三 第三方软件漏洞
对如下条件的第三方软件漏洞,公司会通过SA(Security Advisory,安全公告)为受影响客户提供风险决策和修复、规避支持。
· CVSS 分数为7.0及以上。
· 该漏洞引起了公众、业界的广泛关注。
· 该漏洞已有公开的可用的Exploit(漏洞利用程序),并可能在被活跃利用。
四 发布漏洞信息公告
公司对外发布漏洞信息及修复方案采用如下形式:
版本/补丁说明书包含已修补的漏洞信息。作为产品版本/补丁发布的配套交付件的一部分。
五 基于产品生命周期的漏洞管理
漏洞管理基于产品/软件版本的生命周期里程碑。停产的产品,仍然接收漏洞报告,并修复、公告;停止服务的产品,将不再进行漏洞管理,不再接收、修复、公告相关漏洞。
H3C公司产品生命周期管理策略:https://www.h3c.com/cn/Service/Policy_Trends/Product_Periods/
六 免责&保留权限
本文的策略描述不构成保证或承诺,也不能构成任何合同的一部分,H3C可酌情对上述策略进行调整。
H3C保留随时更改或更新本文档的权利,我们会在必要时更新本策略说明以增加透明度或更加积极地响应。
在发布本策略声明的更改时,我们将修订本策略底部的“更新日期”。
更新日期 2023.05.23
支持
售前咨询
售后咨询
人工在线咨询
