漏洞管理流程图
所有人
安全与漏洞应急小组
所有人
漏洞发现
发现并上报疑似漏洞
→
疑似漏洞接收
接收漏洞报告
↓
疑似漏洞分析
初步分析漏洞信息
↓
漏洞评估
详细评估漏洞影响
↓
判定是否漏洞
↓
是漏洞
确认为真实漏洞
↓
漏洞修复计划
制定修复方案
↓
开发补丁
编写修复代码
↓
验证补丁
测试修复效果
↓
申请CVE或CNVD
申请漏洞编号
↓
发布补丁及公告
发布安全更新
非漏洞
判定为非漏洞
↓
反馈漏洞上报者判定结果
漏洞披露
获取修复信息
流程详细说明
漏洞发现
任何人可以通过优炫数据库支持邮箱进行疑似漏洞上报。为了便于快速的确认和验证疑似漏洞,请您在漏洞上报时填写包含但不限于以下内容:
- 基本信息:包括漏洞的触发条件和成功利用后对系统的影响等
- 技术细节:包括系统配置、定位方法、问题重现方法和步骤等
- 修复方案建议
- 上报者的组织和联系方式
漏洞评估
通用漏洞评估系统(Common Vulnerability Scoring System,CVSS)是广泛应用的漏洞评分开放标准,优炫数据库安全与漏洞应急小组会依据CVSS标准,针对漏洞利用难易程度以及利用后对机密性、完整性、可用性的影响给出漏洞影响性评估。
对于判定结果为非漏洞的情况,优炫数据库会通过漏洞上报者预留联系方式反馈漏洞判定结果。
漏洞修复
对于优炫数据库支持邮箱中所上报的漏洞,优炫数据库会在1周内联系上报者并反馈漏洞的判定以及修复进展。
对于CVE,CNNVD,CNVD的高、中风险,优炫数据库会每半年进行一次新出现漏洞的修复。对于所有漏洞的修复情况,优炫数据库内部会持续跟踪,直至修复披露。
漏洞披露
为保护优炫数据库产品用户安全,在进行漏洞调查、修复和发布安全公告之前,优炫数据库官网和社区会严格控制漏洞信息的范围,会将其仅限制在处理漏洞的相关人员之间传递,不会公开披露、讨论或确认优炫数据库产品的安全问题,同时也希望漏洞上报者对此漏洞进行保密,直至对外公开披露。
安全漏洞修复后,优炫数据库官网会及时发布安全公告,公告内容一般会包含该漏洞的技术细节、严重等级以及受该漏洞影响的版本和修复补丁等信息,并同时提供详细的修复方案。
安全承诺与保障
快速响应
我们承诺在收到漏洞报告后1个工作日内确认,并在1周内提供初步评估结果。
专业评估
采用国际标准CVSS评分体系,确保漏洞评估的客观性和准确性。
持续跟踪
对已确认的漏洞建立跟踪机制,确保修复过程透明可控。
用户保护
在漏洞修复前严格保密相关信息,保护用户系统安全。