EMC 产品安全性

通过 EMC 产品安全性计划建立信任

EMC 漏洞响应政策

简介

EMC 采取一切可能的措施来降低与我们产品中安全漏洞相关的客户风险。我们的目标是为客户提供及时的信息、指导和缓解措施,从而解决漏洞产生的威胁。 EMC 产品安全响应中心 (PSRC) 负责协调所有外部发现的 EMC 产品漏洞的响应和披露。

我们积极参与卓越代码软件保证论坛(SAFECode:http://www.safecode.org)、事故响应论坛 (http://www.first.org) 和针对漏洞披露和处理制定的 ISO 29147 和 ISO 30111 等国际标准,力争在行业中持续起到模范作用。

如何报告安全漏洞

如果您在某个 EMC 产品中发现了安全漏洞,请立即报告该问题。及时发现安全漏洞对于消除潜在威胁至关重要。

客户、合作伙伴和其他获得 EMC 产品授权的用户应联系 EMC 技术支持来报告 EMC 产品中发现的安全问题。EMC 技术支持团队将与相应的产品团队和 PSRC 合作,共同解决发现的问题。

安全研究人员、行业团体、供应商以及其他不享受 EMC 技术支持的用户可通过电子邮件将漏洞报告发送至 security_alert@emc.com。请使用 EMC 的 PGP 密钥对您的邮件进行加密,您可通过右键单击以下链接来下载或查看该密钥:PSRC PGP 密钥

请尽可能多地包含以下信息,以帮助我们更好地了解潜在漏洞的性质和范围。

  • 出现漏洞的产品名称和版本
  • 漏洞类型(跨站点脚本 [XSS]、缓冲区溢出等)
  • 重现漏洞的分步式说明
  • 概念验证或利用代码
  • 漏洞的潜在影响,包括攻击者可如何利用漏洞

漏洞补救

当调查和验证报告的漏洞后,EMC 将创建和确定合适的补救措施。 可能采取以下一种或多种形式的补救措施:

  • 由 EMC 打包的受影响产品的新版本
  • 由 EMC 提供的、可安装在受影响产品上的补丁
  • 关于从第三方组件供应商处下载和安装缓解漏洞所需的更新或补丁的说明
  • 由 EMC 发布的纠正程序或解决方法,指导用户调整产品配置,从而缓解漏洞带来的风险

EMC 将在商业上合理的最短时间内,尽一切努力提供补救措施或纠正操作,以保护我们的客户。响应时间取决于许多因素:严重性(包括可利用性因素和影响)、受影响的组件(例如,一些更新需要更长的 QA 周期或仅能在大型版本中进行更新)、发现漏洞时产品处于开发周期的哪个阶段等。 

补救措施沟通

EMC 通过 EMC 安全咨询与客户沟通补救措施。 EMC 在拥有受影响产品所有支持版本的补救措施后,将发布安全咨询。  这是为了保护所有 EMC 客户。  EMC 可能会提前发布安全咨询,以恰当地响应 EMC 产品组件中公开披露或广为人知的漏洞。

安全咨询将具有恰当的详细程度,一方面为客户提供足够的信息,以便于他们可以保护自己,另一方面又不会提供太多的信息,以防止恶意用户利用这些信息来危害我们的客户。
在合适的情况下,EMC 安全咨询将提供以下信息:

  • 受影响的产品和版本
  • 漏洞的严重性评级(EMC 采用通用漏洞评分系统,CVSS:http://www.first.org/cvss/cvss-guide.html
  • 漏洞的通用漏洞枚举(CVE:http://cve.mitre.org)标识符,方便漏洞中的信息可在各种漏洞管理功能(如漏洞扫描程序、存储库和服务等工具)间共享
  • 简要描述漏洞和利用漏洞后存在的潜在影响
  • 包含更新/解决方法信息的补救措施详细信息
  • 为报告漏洞并与 EMC 合作从事协调版本研发的发现者授予奖励(如适用)

强烈建议客户通过支持门户订阅 EMC 安全咨询:

用户可在此处获取已发布的安全咨询列表:EMC 安全咨询(需要 EMC 在线支持凭据)。

严重性评级

安全漏洞是根据其严重性评级来进行分类的,由众多因素决定,包括利用漏洞所需的工作量和成功利用漏洞对数据或业务活动造成的潜在影响。EMC 目前采用通用漏洞评分系统版本 3.0 (CVSS v3.0) 来确定已发现漏洞的严重度。完整的标准由事故响应和安全团队论坛 (FIRST) 进行维护,您可在 https://www.first.org/cvss 网站上找到。

在适当的情况下,EMC 将提供已发现漏洞的 CVSS v3.0 基础分数、相应的 CVSS v3.0 矢量和 CVSS v3.0 严重性评级标准。EMC 建议所有客户在评估整体风险时,需考虑基础分数以及可能与其环境相关的任何临时分数和/或环境分数。

其他披露信息

EMC 同时向所有客户发布相同的、关于漏洞和如何免受漏洞影响的信息,以一视同仁地保护所有客户。EMC 不会向单个客户提供事先通知。这确保所有客户在创建补救措施时均受到保护,收到合适的补救漏洞信息,同时在开发补救措施时不会遭到恶意攻击。

在安全咨询提供的信息之外,EMC 将不会提供其他关于漏洞细节的信息和相关文档,如发行说明、知识库文章和常见问题解答等。EMC 将不会分发已发现漏洞的利用/概念验证代码。

按照行业惯例,EMC 将不会与外部实体共享内部安全测试和其他类型安全活动中所得到的结果。

EMC 安全开发实践

EMC 建立了全面的安全软件开发方法,该方法涵盖政策、人员、流程和技术。如需了解更多信息,请访问 EMC 的安全开发生命周期 (SDL) 页面

客户权利:担保、支持和维护

EMC 客户关于担保、支持和维护的权利(包含任何 EMC 软件产品中的漏洞)由 EMC 与各客户间相应的协议予以规定。

本网页上的陈述未修改或扩大任何客户权利或提供任何其他担保。任何提供给 EMC 关于 EMC 产品中漏洞的信息(包括产品漏洞报告中的所有信息)应视为 EMC 的独家信息。

资源

支持信息

EMC 安全咨询(需要 EMC 在线支持凭据)
报告 EMC 产品漏洞
EMC 产品的安全配置指南(需要 EMC 在线支持凭据)

更多信息

EMC 产品安全性博客
通用漏洞评分系统版本 3.0 (CVSS v3.0)

Notes:

Google +1
 
联系销售
谢谢

感谢您提出请求。销售代表会尽快与您联系。

请稍候

正在处理您的请求...

 
 
close
联系销售部门
请填写以下表单,以便让销售专员联系您。
非销售咨询请点击此处.

必须填写所有字段

必须填写有效的电子邮件地址

电话号码必须是数字

我同意接收 EMC 发送的营销优惠和促销信息。您可以随时撤回同意。请参阅我们的隐私政策 ,以了解更多详细信息
您正在离开EMC中文官网 www.emc2.com.cn,
即将前往的页面上有些产品和信息不适用于中国地区
前往 停留