Security Advisories
阿尔卡特朗讯企业产品安全事件响应小组(ALE PSIRT)专门负责管理请求, 调查并报告影响我们产品和解决方案的漏洞或技术问题.
我们了解安全产品和解决方案对客户的重要性. 我们的目标是确保阿尔卡特朗讯企业产品的开发以所有适当的安全原则为基础. 我们遵循全面的安全计划,其中包括:
- 确保软件开发的最佳实践、过程和工具
- 严格的产品安全要求
- 发布前的定期验证和质量安全测试
尽管有这些安全原则和相关的操作, 漏洞可以在产品软件组件中被发现, when exploited, 一旦产品部署到客户的网络中,是否会对产品的安全级别产生影响.
产品安全事件响应流程总结
- ALE PSIRT收到安全警报或报告(业务伙伴、客户、……)发送一个在 Vulnerability Summary Report (VSR) to the ALE PSIRT (PSIRT@ooohang.com).
- ALE PSIRT向报告者确认收到了VSR.
- ALE PSIRT根据ALE产品是否存在风险来分析ALE上下文中漏洞的相关性. A 漏洞分析报告 (VAR)是在内部漏洞管理SharePoint中创建的. VAR将作为ALE PSIRT在整个过程中跟踪分析的参考. 对漏洞的严重性进行重新评估 通用漏洞评分系统版本3.1 Calculator.
- ALE PSIRT通知漏洞分析小组(PSP和PSS)关于VAR.
- Product Security Prime完成VAR, 用于标识产品的漏洞状态. 可能需要多个步骤来提供解决问题的临时步骤(通过配置), imposing a restriction, or finding a work-around), 在找到最终解决方案之前.
- 记者将被定期告知正在进行的漏洞调查. 最值得注意的是,ALE PSIRT将把分析结论传达给记者.
- If any impacts are confirmed, 当有补救措施时, ALE PSIRT将协调修复和影响评估, and define, 与产品线团队一起, 决议交付时间框架, 通知计划及向公共机构(如mitre)披露.org and CERT organisations. 当有足够的信息可以交流时, 安全咨询委员会将要求创建或更新 Security Advisory (SA).
- ALE PSIRT将在ALE PSIRT网站上发布SA, 通知外部ALE相关方,如合作伙伴和客户.
- ALE PSIRT邮件列表订阅者将收到关于已发布SA的通知. 任何人都可以从ALE PSIRT网站订阅邮件列表.
- 任何有兴趣的人都可以访问ALE PSIRT网站并阅读安全公告.
如何报告可疑的安全漏洞
我们强烈建议遇到ALE产品或解决方案的技术安全问题的个人或组织通过以下步骤联系ALE PSIRT报告问题:
- Complete the 漏洞摘要报告(VSR).
- 将完成的报告发送至以下邮箱: PSIRT@ooohang.com
- 出于保密原因,请考虑使用ALE PGP公钥
在与记者保持讨论的同时,将遵循ALE PSIRT程序. 在漏洞解决过程中,与所有相关方的沟通是一项关键活动.
阿尔卡特朗讯企业客户也可以通过他们通常的支持渠道报告可疑的安全漏洞. 取决于客户维护合同, 这些联络点将能够在更一般的情况下提供协助,例如:
- 确定是否存在安全问题的技术援助
- 为特定的安全相关功能配置ALE产品
- 关于已宣布的ALE产品安全问题的答案
- 实现任何避免漏洞的变通方法
保密- ALE PSIRT PGP公钥:
ALE PSIRT流程确保未经授权的ALE员工和外部用户都无法访问事件报告人员提供的信息. ALE还根据要求保证, 事件报告人的姓名将不会在公开通信中披露,也不会用于进一步的外部分发. Similarly, ALE PSIRT要求事件报告者严格保密,直到完整的解决方案提供给客户,并由ALE PSIRT通过适当的协调披露在ALE网站上公布. 确保报告的保密性以及与ALE PSIRT沟通的后续步骤, 我们鼓励使用ALE PGP公钥发送加密消息,并返回事件报告方的公共PGP密钥.
- E-mail: PSIRT@ooohang.com
- 公钥可以在 http://keyserver.pgp.com
请注意,不应该联系ALE PSIRT来报告或获得在部署的网络和解决方案中“实时”发生的安全事件的支持. 此类事件只能通过通常的客户支持渠道报告.
第三方软件漏洞
ALE PSIRT与第三方协调中心合作,例如 CERT-IST, NVD and US-CERT 管理ALE产品和解决方案中嵌入或使用的第三方软件报告的漏洞通知. 这些报告使用唯一的通用漏洞和暴露(Common Vulnerabilities and Exposures, CVE)编号来引用. 每个发布的CVE都由ALE团队进行分析,以提供一个调整后的风险评分,反映对我们产品的有效影响.
Severity assessment
当漏洞被发现时, internally or externally, through pentests, CERT reports, or from the field, 在ALE产品的上下文中限定漏洞是很重要的.
为了帮助这一资格认证过程,ALE使用了FIRST组织开发的工具 CVSS version 3.1 calculator.
通过回答一些问题,为漏洞建立一个新的分数.
重新认证的分数被称为ALE漏洞评分系统(AVSS)。.
Rating | CVSS/AVSS Score |
Not impacted | 0.0 |
Low | 0.1 - 3.9 |
Medium | 4.0 - 6.9 |
High | 7.0 - 8.9 |
Critical | 9.0 - 10.0 |
安全谘询披露
如果存在以下一种或多种情况,ALE将公开披露安全公告:
- 事件响应流程已完成,并已确定存在足够的软件补丁或变通方法来解决该漏洞, 或者计划随后公开披露代码修复,以解决高到严重级别的漏洞.
- 已观察到有人积极利用该漏洞,这可能会增加我们客户的风险. 在发布可用补丁或更正之前,可能会发布早期安全公告,以告知客户潜在风险.
- 有关漏洞的火狐体育手机可能会使我们的客户面临潜在的增加风险. 在发布可用补丁或更正之前,可能会发布早期安全公告,以告知客户潜在风险.
ALE保留在例外情况下偏离此政策的权利,以确保软件补丁的可用性和我们客户的安全.