安全

漏洞汇报处理流程

简介

小樱桃产品的漏洞处理流程包括以下五步:

漏洞响应流程\label{fig:vul-response-process}

漏洞接收

通过主动监控和接收漏洞上报者上报的潜在安全漏洞和问题,小樱桃团队会在收到漏洞的7个自然日内对漏洞上报者给予答复。

若是由客户主动上报,烦请报告以下内容:

  • 漏洞描述,包括概念验证漏洞验证代码或网络追踪(如果有)
  • 受影响的产品、解决方案或基础设施设备,包括型号和固件版本(如果有)
  • 漏洞的公开(该漏洞是否已公开披露?)

漏洞确认

验证潜在安全漏洞和问题是否影响公司产品安全,并评估风险,确定漏洞等级。 XSwitch团队使用通用漏洞评分系统(CVSS)对漏洞评分,CVSS 3.1 用户指南。

漏洞修复

小樱桃团队制定漏洞风险缓解和修复方案,验证漏洞修复效果,后续版本中修复次漏洞,并对之前商业版本给出产品升级包或补丁。

漏洞披露

在成功分析出问题所在之后,如果需要使用修复程序来处理该漏洞,那么将会开发相应修复程序并进行分发。小樱桃团队将使用现有的客户通知流程来管理补丁程序的发布,可能包括直接客户通知或公开发布包。

安全公告通常包含以下信息:

  • 带有 CVE 参考和 CVSS 评分的漏洞描述
  • 已知受影响产品和软件版本的标识
  • 有关缓解因素和解决方法的信息
  • 可用修复程序的位置
  • 在经报告方同意后,对报告和合作的致谢

对外发布漏洞信息及修补方案采用如下三种形式:

  • 安全通告:SA(Security Advisory),安全通告包含漏洞严重等级、业务影响和修补方案等信息,用以传递漏洞修补方案。安全通告(SA)用于发布小樱桃科技产品直接相关的严重(Critical)和高(High)等级的漏洞信息及修补方案。安全通告(SA)提供下载通用漏洞报告框架(CVRF)内容的选项,旨在以机器可读格式(XML文件)描述漏洞信息,以支持受影响客户的工具使用。
  • 安全公告:SN(Security Notice),安全公告包含对产品公开安全话题的回应(含漏洞和非漏洞相关话题)。安全公告(SN)用于发布SSR评估为信息类(Informational)的问题相关信息,如公共论坛(如博客、FreeSWITCH中文社区、腾讯兔小巢)中讨论的信息。同时,对有可能引起公众对小樱桃科技产品版本中漏洞的广泛关注或小樱桃科技公司已经观察到漏洞活跃利用等特殊场景下,安全公告(SN)也作为一种回应方式,以便相关客户了解小樱桃科技公司对此漏洞的响应进展。
  • 版本/补丁说明书:RN(Release Note),版本/补丁说明书包含已修补的漏洞信息。作为产品版本/补丁发布的配套交付件的一部分,用于说明SSR评估为中(Medium)和低(Low)等级的漏洞。为方便客户从版本/补丁视角,综合评估版本/补丁的漏洞风险,版本/补丁说明书(RN)中也包含通过安全通告(SA)发布的漏洞信息及修补方案。对于私有云场景,小樱桃科技公司在 XSwitch 文档中心网站上提供文档说明。对于终端场景,小樱桃科技在例行补丁公告中包含。

漏洞反馈

漏洞披露后,监控补救措施的有效性,收集客户反馈的问题和建议,必要时对补丁包/升级包更新。

在整个漏洞处理的过程中,XSwitch团队会严格控制漏洞信息的范围,将之限制在仅处理漏洞的相关人员之间传递;同时也要求漏洞上报者对此漏洞进行保密,直到XSwitch团队对外公开。

安全响应