漏洞响应流程

上报
主动监测和接受安全问题和漏洞,启动应急处理流程,同时对漏洞上报者进行确认
验证
安全实验室和相关产品对安全问题进行验证、确认,同时评估风险等级
解决
制定安全漏洞的缓解措施,相关产品针对漏洞进行修复开发,同时制定安全预警策略
披露
在安全问题有规避措施和解决补丁的情况下,官方披露漏洞信息
反馈
收集来自相关外部客户的建议,安全实验室组织产品进行相关的改进

安全应急响应中心会严格控制漏洞信息的范围,将之限制在仅处理漏洞的相关人员之间传递;同时也要求漏洞上报者对此漏洞进行保密,直到对外公开披露。

安全应急响应中心针对每个安全漏洞根据通用漏洞评分系统(CVSS)给出基础评估(Base Metrics)和时间周期评估(Temporal Metricss)。客户有需要可以根据自己的环境给出环境评估(Environmental Metrics)。

宇视科技统一采用CVE(Common Vulnerability and Exposures)和CNCVE引用第三方漏洞信息。