安全通告
一、漏洞上报

安全漏洞是指在系统设计、部署、运营或管理中,可被利用于违反系统安全策略的缺陷或弱点;

安全漏洞上报者可以通过email提交广州邦讯相关的潜在安全漏洞。因为漏洞信息比较敏感,故我们强烈建议当向广州邦讯 PSIRT 上报一个潜在的安全漏洞时,请使用我们的PGP公钥(密匙标识9E90A0E0; PGP fingerprint: FD5B E2A7 B893 04FB 8FC9 8749 FEF7 B5CD 9E90 A0E0)进行加密,并直接发送到psirt@bonsoninfo.com,为了便于验证和定位漏洞,请在邮件中包含但不限于以下内容:

  • 组织和联系方式
  • 受影响的产品或解决方案及其版本
  • 潜在漏洞的描述
  • 技术细节(例如系统配置,定位方法, Exploit的描述,样例抓包,POC,问题重现的步骤等)
  • 被公开exploit的信息
  • 可能的漏洞披露计划
  • 二、漏洞响应流程

    在整个漏洞处理的过程中,PSIRT会严格控制漏洞信息的范围,将之限制在仅处理漏洞的相关人员之间传递;同时也要求漏洞上报者对此漏洞进行保密,直到广州邦讯对外公开SA;

    广州邦讯对外披露安全漏洞采用如下两种形式:

    SA(Security Advisory):提供经确认的相关技术信息,包括但不限于规避方案、解决方案;

    SN(Security Notice):提供安全主题相关的general信息,当外界发现并关注广州邦讯漏洞信息,但广州邦讯尚未确认任何技术信息。

    在官方网站公布同时,会在将txt版本在知名安全论坛、漏洞库或邮件列表中进行发布,但后续SA的更新将不再同步更新,而仅会在官方网站上进行实时更新; PSIRT采用CVSSv3标准,对每个SA,给出漏洞的Base Score和Temporal Score,和攻击矢量,而具体的Environment Score由客户根据自己的环境自行给出。具体CVSSv3标准见如下链接:

    https://www.first.org/cvss/specification-document

    广州邦讯统一通过CVE(Common Vulnerability and Exposures)对广州邦讯漏洞披露网站之外的漏洞信息进行引用。 广州邦讯PSIRT在每个月的第二个周三例行发布安全公告,但广州邦讯公司保留随时发布安全公告的权利;

    广州邦讯并不保证本政策所载的内容和信息的准确、完整、充分和可靠性,并且明确声明不对这些内容和信息作出任何明示或默示的保证和担保、包括但不限于适用于某种特定目的、没有侵犯第三方权利等。使用和解释该政策及其相关内容所产生的一切法律责任由您自行承担。广州邦讯可以在没有任何通知或提示的情况下随时对本政策所载的内容和信息进行修改。

    

    客服邮箱:bonsoninfo@bonsoninfo.com

    粤公网安备 44010602001762号

    版权所有@2015 广州邦讯信息系统有限公司 粤B2-20030345号-1