漏洞处理流程
华为公司致力于提升华为产品的安全性,全力支持客户网络和业务的安全运营。华为公司重视产品开发和维护的漏洞管理,并遵循ISO/IEC 30111、ISO/IEC 29147等标准建立完整的漏洞处理流程,以提升产品安全性,确保在发现漏洞时及时响应。
- 漏洞感知:接受和收集产品的疑似漏洞;
- 验证&评估:确认疑似漏洞的有效性和影响范围;
- 漏洞修补:制定并落实漏洞修补方案;
- 漏洞修补信息发布:面向客户发布漏洞修补信息;
- 闭环改进:结合客户意见和实践持续改进。
第一时间感知到漏洞,是及时响应的重要前提。一方面,华为公司鼓励安全研究人员、行业组织、客户和供应商等主动向华为PSIRT上报疑似漏洞,并约束上游供应商,及时将交付件中的漏洞报告给华为公司。另一方面,华为公司主动对知名公开漏洞库、开源社区、安全网站等信息源进行监测,及时感知华为产品相关的漏洞信息。华为公司会对感知到的疑似漏洞进行管理,核查所有未EOS(End of Service & Support)产品版本的受影响情况。基于业界最佳实践,华为强烈推荐客户定期审视其产品是否仍可获取支持,以便享有最新的软件更新。
对于任何上报给华为PSIRT的疑似漏洞,PSIRT将与产品团队一起分析/验证漏洞,结合漏洞对产品实际影响进行漏洞严重等级评估,以确定修补优先级并开发漏洞修补方案(包括缓解措施、补丁/版本等客户可执行的风险消减方案)。华为公司基于减少伤害和降低风险的原则,向利益相关者发布漏洞信息,支撑客户评估漏洞对其网络的实际风险。
如果在产品开发、交付、部署过程中,华为公司发现供应商的产品或服务中的漏洞,将主动向供应商传递修补要求。对于开源软件漏洞,华为公司将遵从开源社区的漏洞管理策略,将疑似漏洞提交开源社区,推动其及时发布修补方案,并会在开源社区中积极贡献漏洞修补方案。
华为PSIRT将与漏洞上报者协调处理,作为协调者或通过第三方协调中心,将漏洞报给其他厂商、标准组织等,推动漏洞解决。如漏洞涉及标准协议等,建议上报者提交给华为PSIRT的同时,也同步知会行业组织。例如:与3GPP通讯协议相关的漏洞,可同步提交给GSMA协调漏洞披露计划(CVD)。
基于持续优化的原则,华为公司将在提升产品安全性、漏洞处理流程等方面持续改进。
在整个漏洞处理的过程中,华为PSIRT会严格控制漏洞信息的范围,仅在处理漏洞的相关人员之间传递;同时也请求上报者在我们的客户获得完整的解决方案前,对此漏洞信息进行保密。
华为公司将基于法律合规要求对所获取的数据采取必要、合理的保护措施。除非受影响客户明确提出要求或法律规定,华为不会主动向其他方共享或披露上述数据。
漏洞严重等级评估
华为公司采用业界通用标准对产品中的疑似漏洞进行严重等级评估。以CVSS(Common Vulnerability Scoring System,通用漏洞评分系统)为例,该模型包括三个指标组:基础指标组、时间指标组和环境指标组。华为公司将提供基础漏洞评分,在某些情况下,将提供时间漏洞评分和典型场景下的环境漏洞评分。华为公司鼓励最终用户根据其网络实际情况评估环境漏洞评分,作为此漏洞在用户特定环境最终漏洞评分,支撑用户漏洞消减方案部署决策。
对于华为云业务,华为公司会结合漏洞在华为云中被利用的风险评估结果决定处理优先等级;对于华为智能汽车业务,产品漏洞会参考ISO/IEC 21434标准,结合漏洞对产品的实际影响进行漏洞严重等级评估,以确定漏洞修补优先级。
因为不同产业遵循不同标准,华为公司使用安全严重等级(SSR:Security Severity Rating)作为更简单的分级方法,SSR基于漏洞严重等级评估综合得分进行等级分类,将漏洞分为严重(Critical)、高(High)、中(Medium)、低(Low)以及信息类(Informational)共五个级别。
第三方软件漏洞
由于华为产品集成第三方软件/组件的方式和场景的多样性,华为公司会根据产品的具体场景对第三方软件/组件的漏洞评分进行相应的调整,以反映漏洞的真实影响。如:某第三方软件/组件受影响的模块没有被调用,则认为该漏洞“无法被利用,不受影响”。如现有评估体系无法覆盖评估的维度时,华为公司负责对评估结果进行解释。
如果同时满足以下三条标准,华为公司将此漏洞标识“High Profile”:
- CVSS 分数为4.0及以上。
- 该漏洞引起了公众的广泛关注。
- 该漏洞很可能或已经有可用的Exploit(漏洞利用程序),可能或正在被活跃利用。
对于“High profile”的第三方漏洞,华为公司将核查所有未EOS的产品版本,并在确认为“High profile”漏洞后,24小时内发布SN(安全通知)以向相关客户通知华为公司对此漏洞处理的情况,当有漏洞修补方案后,华为公司会通过SA(安全通告)为相关受影响客户提供风险决策和消减支持。对于未归类到“High profile”的第三方漏洞,华为公司在版本/补丁说明书中说明。
发布漏洞信息公告
公告形式
华为公司对外发布漏洞信息及修补方案采用如下三种形式:
- 安全通告:SA(Security Advisory),安全通告包含漏洞严重等级、业务影响和修补方案等信息,用以传递漏洞修补方案。安全通告(SA)用于发布华为产品直接相关的严重(Critical)和高(High)等级的漏洞信息及修补方案。安全通告(SA)提供下载通用漏洞报告框架(CVRF)内容的选项,旨在以机器可读格式(XML文件)描述漏洞信息,以支持受影响客户的工具使用。
- 安全公告:SN(Security Notice),安全公告包含对产品公开安全话题的回应(含漏洞和非漏洞相关话题)。安全公告(SN)用于发布SSR评估为信息类(Informational)的问题相关信息,如公共论坛(如博客或讨论列表)中讨论的信息。同时,对有可能引起公众对华为产品版本中漏洞的广泛关注或华为公司已经观察到漏洞活跃利用等特殊场景下,安全公告(SN)也作为一种回应方式,以便相关客户了解华为公司对此漏洞的响应进展。
- 版本/补丁说明书:RN(Release Note),版本/补丁说明书包含已修补的漏洞信息。作为产品版本/补丁发布的配套交付件的一部分,用于说明SSR评估为中(Medium)和低(Low)等级的漏洞。为方便客户从版本/补丁视角,综合评估版本/补丁的漏洞风险,版本/补丁说明书(RN)中也包含通过安全通告(SA)发布的漏洞信息及修补方案。对于私有云场景,华为公司在云服务产品的版本文档包含。对于终端场景,华为公司在例行补丁公告中包含。
公告渠道
华为公司发布安全通告(SA)和安全公告(SN),支撑相关客户获取漏洞修补信息。版本/补丁说明书(RN)作为产品版本/补丁发布的配套交付件的一部分,客户可通过产品版本/补丁的获取渠道获取。
公告计划
满足下面一个或多个条件时,华为公司将发布SN或SA,为客户提供现网风险决策支持。
- 安全严重等级(SSR)被定义为“严重(Critical)”或“高(High)”的漏洞,华为公司完成漏洞响应流程,可以提供漏洞修补方案支持客户进行现网风险消减。
- 可能引起公众对华为产品版本中漏洞的广泛关注或华为公司已经观察到漏洞被活跃利用,该漏洞可能导致华为客户面临的风险增加时,华为公司会加速响应过程,会在认定上述满足条件的24小时内向客户通知并持续更新漏洞响应进展。
- 为最大化的消减全球网络风险,在与第三方协调披露时,华为公司遵从协同的漏洞披露策略(CVD)确定公告计划。
软件更新的获取说明
漏洞管理基于产品/软件版本的生命周期里程碑进行管理,华为PSIRT将对停止服务与支持(EOS)前所有产品版本的漏洞进行管理。漏洞修补将在EOFS(停止全面支持)前提供,EOFS后酌情修补SSR中严重(Critical)或高(High)的漏洞。产品团队可能存在定义本策略外的里程碑点,针对此类漏洞修补情况,应查阅具体产品文档,以了解提供的修复支持。
客户可以依据合同升级到新的产品/软件版本或安装最新补丁消减漏洞风险。 客户只能获取和使用已购买有效许可(现行的已激活许可)的软件版本,修补漏洞的产品/版本不赋予客户获得新软件许可、其他软件功能/特性或主要版本升级的权利。 客户可以联系华为服务工程师或者TAC获取版本/补丁:
如您是华为运营商客户,可以访问这里。
如您是华为企业客户,可以访问这里。
如您是华为终端客户,您可以使用在线升级或访问这里。
如您是华为云客户,您可以访问这里。
如您是上海海思客户,可以访问这里。
华为企业客户请参见企业业务产品生命周期终止政策(https://support.huawei.com/enterprise/zh/warranty-policy),了解产品生命周期内漏洞修补的详细内容。具体产品/软件版本的漏洞修补能力请参见产品生命周期公告(https://support.huawei.com/enterprise/zh/bulletins-product)。
免责&保留权限
本文如有多个语种的版本,不同语种如有差异,以“中文”版本为准。本文的策略描述不构成保证或承诺,也不能构成任何合同的一部分,华为可酌情对上述策略进行调整。
华为公司保留随时更改或更新本文档的权利,我们会在必要时更新本策略说明以增加透明度或更加积极地响应,例如:
- 客户、监管机构、行业或其他利益相关方的反馈。
- 整体策略的变更。
- 最佳实践的引入等。
在发布本策略声明的更改时,我们将修订本策略底部的“更新日期”。
定义
本策略中使用了如下定义:
更新日期 2022.1.18
