请与 PSIRT 联系以获取 Trellix 和 Skyhigh 安全/Security
通过
HackerOne提交安全漏洞报告。
对于其他查询,您可以在
trellixpsirt@trellix.com上通过电子邮件到达团队。
PSIRT 策略声明
- 可操作
在没有可操作的解决方法、补丁、修补程序或版本更新的情况下,我们不会公开发布产品或软件漏洞。否则,我们会通知黑客社区我们的产品是一个目标,这会给客户带来更大的风险。对于有大量媒体需要关注的漏洞(例如 Log4j),我们会发布已注册的安全/Security 公告,指出我们的意识和操作。此安全/Security 公告将被限制为我们的客户。
- 无收藏夹
公平地来说,我们会将产品漏洞同时披露给所有客户。大型客户通常不会提前通知您。CISO 根据具体情况授予提前通知,但仅限严格的非公开许可协议。
- Discoverers
仅当满足以下条件时,我们才会为漏洞 discoverers 提供积分:
- 它们希望被识别为发现者。
- 在发布安全/Security 公告或知识库(KB)文章之前,他们不会将 "零天" 或公开研究。
组织、个人或两者都可以识别为 发现者
常见漏洞评分系统(CVSS)评分
我们使用最新的 CVSS 版本 CVSS v 3.1.
所有安全/Security 公告必须包括每个漏洞和关联 CVSS 向量的 CVSS 分数。基本分数为必需。临时分数和环境分数为可选。理想情况下,基本分数应与美国国家标准和技术协会(NIST)分配给 Cve 的分数相匹配。
支持通知服务(SNS)电子邮件
所有安全/Security 公告都需要 SNS 电子邮件。要订购 SNS 电子邮件,请转至
Sns 订购首选项站点。
响应策略
我们的修复和警报响应取决于最高的 CVSS 基础分数:
优先级(安全性) |
CVSS 评分 |
典型修复响应* |
SNS |
P1-严重 |
9.0–10严重 |
修补程序 |
警报 |
P2-高 |
7.0– 8.9 高 |
更新 |
通知 |
P3-中等 |
4.0– 6.9 中等 |
更新 |
通知 |
P4-低 |
0.0– 3.9 低 |
版本更新 |
可选 |
P5-Info |
0.0 |
不会修复;信息 |
N/A |
* |
修复响应基于漏洞的严重性、产品生命周期和修补程序的可行性。上述典型的修复响应不能承诺针对所有受支持的产品版本生成修补程序、补丁或版本更新。 |
外部通信机制
我们的外部通信机制取决于 CVSS 基本分数、客户查询数量和媒体关注程度:
- 安全/Security 公告(4–10)
- 知识库文章(2–4)
- 维护声明(0–4)
- 不需要(0)
|
CVSS 0
低 |
CVSS 0 –3.9
低 |
CVSS 4.0 –6.9
中等 |
CVSS 7.0 –10
高 |
外部披露 (CVE)* |
知识库文章(如果有多个查询);否则不需要 |
知识库文章 |
安全/Security 公告和
SNS |
安全/Security 公告和
SNS |
客户披露 |
维护声明 |
维护声明 |
安全/Security 公告和
SNS |
安全/Security 公告和
SNS |
内部披露 |
不需要 |
发行说明中的文档 |
安全/Security 公告(发布后)和发行说明中的文档 |
安全/Security 公告(发布后)和发行说明中的文档 |
* 默认情况下,我们不会针对低于以下分数的问题发布 Cve
4.0.
危机情况
对于会影响多个产品的公开的高严重性漏洞,我们可能会发布一个安全/Security 公告,其中包含一个产品的更新,然后更新安全/Security 公告,因为其他产品的更新和描述变为可用。
包含多个易受攻击产品的安全/Security 公告列出了具有以下类别的所有产品:
- 易受攻击且已更新
- 易受攻击但未更新
- 易受攻击但风险低(指定标准部署最佳实践)
- 不易受攻击
- 正在接受调查(可选)
除非是危机情况,否则我们通常不会在 afternoons 星期五发布安全/Security 公告。
漏洞与风险分数
我们参与了行业标准的 CVSS 漏洞评分系统。CVSS 分数应视为一个起点,用于确定特定漏洞可能会给我们的客户带来的风险。CVSS 分数不应与我们产品中可能发生的漏洞的 seriousness 风险评级或我们的产品执行的关联运行时环境相混淆。
CVSS 基本分数确定我们对于指定事件的初始响应。
包含多个易受攻击产品的安全/Security 公告会按类别列出所有产品。下面的列表描述了每个类别在潜在客户影响方面的含义:
- 易受攻击-产品包含经验证的漏洞。漏洞会给客户带来某些级别的风险。在典型的部署方案中,可以采用关联的 CVSS 分数来指示漏洞的攻击 seriousness。
- 不易受到攻击-产品不包含漏洞,或有漏洞的组件存在,无法以任何方式被利用。使用产品不会给客户带来额外风险。
- 易受攻击,但低风险—产品包含漏洞,可能是软件映像中包含的存储库或可执行文件。但是,利用漏洞攻击的影响是可忽略的,产品提供足够的安全控制,因此漏洞不会暴露给威胁代理。使用该产品可能会给在建议和典型部署方案中使用该产品的客户带来极少的风险。
安全/Security 公告
安全/Security 公告可在我们的知识中心上找到。
查看安全/Security 公告。
报告漏洞
有关如何报告漏洞的信息,请参阅
KB95563-报告漏洞。