中望產(chǎn)品安全事件響應團隊( PSIRT)負責接收���、識別��、處理和公開披露與中望產(chǎn)品和解決方案相關的安全漏洞�,是中望披露產(chǎn)品漏洞信息的唯一出口��。PSIRT協(xié)同客戶和利益相關方有效合作�����,快速給出漏洞解決方案�。中望PSIRT將嚴格遵照此流程處理產(chǎn)品安全漏洞:
漏洞接收
主動監(jiān)測或接收產(chǎn)品安全漏洞,啟動應急響應流程��,同時與漏洞上報者確認
分析驗證
啟動分析調(diào)查工作��,快速完成漏洞的確認及嚴重級別定義
方案開發(fā)
制定漏洞緩解方案�、修復方案,漏洞修復���、驗證
反饋
收集總結(jié)客戶和公司內(nèi)部意見���,并根據(jù)反饋情況進行方案迭代
因產(chǎn)品安全漏洞信息的敏感性��,在漏洞處理過程中���,PSIRT將嚴格控制漏洞信息不被泄露,如:個人或組織的身份信息(如報告者姓名���、客戶IP地址等)�、漏洞分析信息等�。同時也要求漏洞上報者對上報的漏洞信息進行保密工作,直至中望軟件官方對外公布此信息,請理解���!
-安全預警(Security Advisory�����,簡稱SA):有確定且經(jīng)過驗證的漏洞解決方案后��,需發(fā)布安全預警�����,針對各大渠道和用戶����,提供經(jīng)確認的相關技術信息�����,包括但不限于規(guī)避方案���、解決方案�����。
-安全公告(Security Notice��,簡稱SN):提供安全主題相關的一般信息�����,當外界發(fā)現(xiàn)并關注中望產(chǎn)品漏洞信息�����,但中望尚未確認任何技術信息的情況下����,中望可針對關注的用戶和組織�����,發(fā)布安全公告說明中望的響應進度�。
中望并不保證本政策所載的內(nèi)容和信息的準確、完整���、充分和可靠性�����,并且明確聲明不對這些內(nèi)容和信息作出任何明示或默示的保證和擔保��、包括但不限于適用于某種特定目的���、沒有侵犯第三方權利等�����。使用和解釋該政策及其相關內(nèi)容所產(chǎn)生的一切法律責任由您自行承擔��。中望可以在沒有任何通知或提示的情況下隨時對本政策所載的內(nèi)容和信息進行修改���。
