本站点使用cookies,继续浏览表示您同意我们使用cookies。Cookies和隐私政策>

漏洞响应流程

在整个漏洞处理的过程中,PSIRT会严格控制漏洞信息的范围,将之限制在仅处理漏洞的相关人员之间传递;同时也要求漏洞上报者对此漏洞进行保密,直到华为公司对外公开SA;

华为公司对外披露安全漏洞采用如下两种形式:

  • SA(Security Advisory):提供经确认的相关技术信息,包括但不限于规避方案、解决方案;
  • SN(Security Notice):提供安全主题相关的general信息,当外界发现并关注华为漏洞信息,但华为尚未确认任何技术信息。

在官方网站公布同时,会在将txt版本在知名安全论坛、漏洞库或邮件列表中进行发布,但后续SA的更新将不再同步更新,而仅会在官方网站上进行实时更新; PSIRT采用CVSSv3标准,对每个SA,给出漏洞的Base Score和Temporal Score,和攻击矢量,而具体的Environment Score由客户根据自己的环境自行给出。具体CVSSv3标准见如下链接:https://www.first.org/cvss/specification-document

华为统一通过CVE(Common Vulnerability and Exposures)对华为漏洞披露网站之外的漏洞信息进行引用。 华为PSIRT在每个月的第二个周三例行发布安全公告,但华为公司保留随时发布安全公告的权利;

华为并不保证本政策所载的内容和信息的准确、完整、充分和可靠性,并且明确声明不对这些内容和信息作出任何明示或默示的保证和担保、包括但不限于适用于某种特定目的、没有侵犯第三方权利等。使用和解释该政策及其相关内容所产生的一切法律责任由您自行承担。华为可以在没有任何通知或提示的情况下随时对本政策所载的内容和信息进行修改。