安全通告
及時了解最新的安全漏洞信息和解決方案
科來 PSIRT(Colasoft Product Security Incident Response Team)負責統一接收、協調、響應和披露科來產品與組件中的網絡安全漏洞,是科來網絡技術股份有限公司對外發布漏洞信息的唯一官方渠道。
科來致力于提供安全可靠的產品和服務,我們的目標是及時為客戶提供處理漏洞所需的信息、指導意見和風險緩解方案。
產品安全
安全通告
漏洞上報
如何報告漏洞?
科來鼓勵安全研究人員、行業組織、客戶和供應商與我們合作,將與科來產品和服務相關的安全漏洞報告給科來PSIRT。
郵件內容要求
郵件內容請盡量詳細,包括且不限于:
- 上報人員姓名或組織名稱,以及聯系方式
- 漏洞描述(漏洞類型、漏洞等級、漏洞危害)
- 受影響的產品及其版本
- 潛在漏洞的技術細節、利用證明及POC
- 安全加固和修復建議
- 可能的漏洞披露計劃
信息保密承諾
在整個漏洞處理的過程中,科來PSIRT會嚴控漏洞信息范圍,僅在漏洞處置相關人員之間傳遞;同時也請求上報者在我們的客戶獲得完整的解決方案前,對此漏洞信息進行保密。
漏洞響應機制
科來PSIRT按照漏洞處理流程對上報的潛在漏洞進行處理。科來重視產品和服務的漏洞管理,支持負責任的漏洞披露和處理過程,尊重每一個安全研究人員的研究結果,對上報的每個安全問題都有專人進行跟進、分析和處理,并及時給予答復,確保及時處置響應。
漏洞響應流程
漏洞感知
主動監控和接收漏洞上報者上報的潛在安全漏洞和問題,同時和漏洞上報者保持聯系。
漏洞驗證
驗證潛在安全漏洞和問題是否影響公司產品安全,并評估風險,確定漏洞等級。科來PSIRT使用通用漏洞評分系統(CVSS3.1)對漏洞評分。
漏洞修復
制定漏洞風險緩解和修復方案,驗證漏洞修復效果,給出產品升級包或補丁。
漏洞披露
在規避方案、補丁可用(或發布新版本)的情況下,披露漏洞信息。
問題改善
漏洞披露后,監控補救措施的有效性,收集客戶反饋的問題和建議,必要時對補丁包/升級包更新,同時,科來將持續改善產品開發和漏洞處理流程。
數據保護承諾
整個漏洞處理過程,科來PSIRT會嚴格控制漏洞信息的范圍,將之限制在僅處理漏洞的相關人員之間傳遞;同時也請求漏洞上報者在客戶獲得完整的解決方案前,對此漏洞信息進行保密。
科來將基于法律合規要求對所獲取的漏洞數據采取必要、合理的保護措施。除非受影響客戶明確提出要求或法律規定,科來不會主動向其他方共享或披露上述數據。