浪潮致力于提供安全可靠的产品和服务,我们的目标是及时为客户提供处理漏洞所需的信息、指导意见和风险缓解方案。浪潮认为与安全研究人员建立关系并促进安全研究是我们安全第一承诺的重要组成部分。我们鼓励安全研究人员与我们合作,将与浪潮产品相关的安全漏洞主动报告给浪潮产品安全事件响应团队 (PSIRT),浪潮PSIRT负责协调相关的响应和披露事项。
安全漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,可以使攻击者能够在未授权的情况下访问或破坏系统。
如果您在浪潮云数据中心产品中发现安全漏洞,请立即向我们报告。
安全研究人员、行业组织、供应商和其他无法获得技术支持的用户应通过电子邮件直接向浪潮PSIRT发送漏洞报告。请使用我们的PGP公钥(key ID0x0DA9C913)加密邮件内容,并发送邮件至security@inspur.com,邮件内容应尽量详细,包括:
(1)受影响的产品及其版本;
(2)漏洞类型,可选择使用CWE等分类法;
(3)漏洞等级和影响;
(4)潜在漏洞的发现方式,请尽量详细填写,包括流程/步骤/截图/重现方法等;
(5)潜在漏洞的利用证明及POC;
(6)可能的漏洞披露计划。
浪潮PSIRT依据漏洞响应流程对上报的潜在安全漏洞进行处理,有关浪潮如何解决安全问题的更多信息,请参阅:漏洞响应流程
漏洞接收:主动监控和接收漏洞上报者上报的潜在安全漏洞和问题,浪潮PSIRT会在收到漏洞的7个自然日内对漏洞上报者给予答复。
漏洞确认:验证潜在安全漏洞和问题是否影响公司产品安全,并评估风险,确定漏洞等级。 浪潮PSIRT使用通用漏洞评分系统(CVSS)对漏洞评分,CVSS 3.1 用户指南。
漏洞修复:制定漏洞风险缓解和修复方案,验证漏洞修复效果,关闭漏洞,给出产品升级包或补丁。
漏洞披露:在规避和补丁可用(或发布新版本)的情况下,披露漏洞信息。
漏洞反馈:漏洞披露后,监控补救措施的有效性,收集客户反馈的问题和建议,必要时对补丁包/升级包更新。
在整个漏洞处理的过程中,浪潮PSIRT会严格控制漏洞信息的范围,将之限制在仅处理漏洞的相关人员之间传递;同时也要求漏洞上报者对此漏洞进行保密,直到浪潮公司对外公开SA。
通常,我们会通过浪潮安全通告(如果适用)向客户传达补救措施,包括如下两种形式:
安全公告(Security Notice,简称SN):提供安全主题相关的general信息,当外界发现并关注浪潮产品漏洞信息,但浪潮尚未确认任何技术信息;
安全预警(Security Advisory,简称SA):提供经确认的相关技术信息,包括但不限于规避方案、解决方案。
为了表达我们对外部漏洞报告者的诚挚谢意,INSPUR PSIRT设立了漏洞发现奖励计划,对外部漏洞报告者进行奖励。欢迎全球安全研究人员上报安全漏洞。
存储
云操作系统
超融合
大数据
集成系统