大华PSIRT会严格控制漏洞信息的范围,将之限制在仅处理漏洞的相关人员之间传递;同时也要求漏洞上报者对此漏洞进行保密,直到对外公开披露。
大华PSIRT对外披露安全漏洞采用如下两种形式:
SA (Security Advisory):提供经确认的相关技术信息,包括但不限于规避方案、解决方案;
SN (Security Notice):提供安全主题相关的大致信息,当外界发现并关注大华漏洞信息,但大华尚未确认任何技术信息。
大华PSIRT采用CVSSv3标准,针对每个安全漏洞评估给出基础得分(Base Score)和临时得分(Temporal Score)。客户有需要可以根据自己的环境给出环境得分(Environmental Score)。
具体CVSSv3标准见如下链接: https://www.first.org/cvss/specification-document
大华统一采用CVE(Common Vulnerability and Exposures)和CNCVE对大华漏洞披露平台之外的漏洞信息进行引用。大华PSIRT随时发布安全通告(Security Bulletins),包括:安全公告SN(Security Notice)、安全预警SA(Security Advisory)。