语言选择
投资者关系

漏洞响应流程

大华PSIRT会严格控制漏洞信息的范围,将之限制在仅处理漏洞的相关人员之间传递;同时也要求漏洞上报者对此漏洞进行保密,直到对外公开披露。



主动监测和接收安全问题和漏洞,启动应急处理流程,同时对漏洞上报者进行确认
PSIRT与相关产品协同处理,验证是否是安全问题或漏洞,评估风险等级
制定漏洞风险缓解措施和修复方案;同步确认安全预警策略
在安全问题可规避和补丁可用的情况下,披露漏洞信息
收集和总结来自内外部客户的意见;重要案例反馈给公司开发sSDLC流程中指导产品开发

大华PSIRT对外披露安全漏洞采用如下两种形式:
SA (Security Advisory):提供经确认的相关技术信息,包括但不限于规避方案、解决方案;
SN (Security Notice):提供安全主题相关的大致信息,当外界发现并关注大华漏洞信息,但大华尚未确认任何技术信息。 

大华PSIRT采用CVSSv3标准,针对每个安全漏洞评估给出基础得分(Base Score)和临时得分(Temporal Score)。客户有需要可以根据自己的环境给出环境得分(Environmental Score)。 
具体CVSSv3标准见如下链接: https://www.first.org/cvss/specification-document 


大华统一采用CVE(Common Vulnerability and Exposures)和CNCVE对大华漏洞披露平台之外的漏洞信息进行引用。大华PSIRT随时发布安全通告(Security Bulletins),包括:安全公告SN(Security Notice)、安全预警SA(Security Advisory)。