漏洞响应流程

大华PSIRT会严格控制漏洞信息的范围，将之限制在仅处理漏洞的相关人员之间传递；同时也要求漏洞上报者对此漏洞进行保密，直到对外公开披露。

: 主动监测和接收安全问题和漏洞，启动应急处理流程,同时对漏洞上报者进行确认

: PSIRT与相关产品协同处理,验证是否是安全问题或漏洞,评估风险等级

: 制定漏洞风险缓解措施和修复方案;同步确认安全预警策略

: 在安全问题可规避和补丁可用的情况下,披露漏洞信息

: 收集和总结来自内外部客户的意见;重要案例反馈给公司开发sSDLC流程中指导产品开发

大华PSIRT对外披露安全漏洞采用如下两种形式：
SA (Security Advisory)：提供经确认的相关技术信息，包括但不限于规避方案、解决方案；
SN (Security Notice)：提供安全主题相关的大致信息，当外界发现并关注大华漏洞信息，但大华尚未确认任何技术信息。

大华PSIRT采用CVSSv3标准，针对每个安全漏洞评估给出基础得分(Base Score)和临时得分(Temporal Score)。客户有需要可以根据自己的环境给出环境得分(Environmental Score)。
具体CVSSv3标准见如下链接： https://www.first.org/cvss/specification-document

大华统一采用CVE(Common Vulnerability and Exposures)和CNCVE对大华漏洞披露平台之外的漏洞信息进行引用。大华PSIRT随时发布安全通告（Security Bulletins），包括：安全公告SN（Security Notice）、安全预警SA（Security Advisory）。