阿里云安全应急响应中心漏洞披露原则

本文介绍阿里云安全应急响应中心披露安全漏洞的过程和原则。

所有软件、平台和设备都是我们的可能研究目标。阿里云安全应急响应中心经常会在这些研究目标中发现缺陷和安全漏洞,并为它们分配一个 AVD ID。我们会创建一个安全公告条目,但不会立刻披露漏洞细节。

为了让世界变得更安全,我们会积极地与受影响厂商合作修复这些安全漏洞。并在厂商发布补丁后披露更多关于漏洞的信息。

阿里云安全应急响应中心会尽最大努力通过公开方式联系受影响的厂商。我们也和 MITRE 公司、CERT 协调中心(CERT/CC)、国家信息安全漏洞共享平台(CNVD)和中国国家信息安全漏洞库(CNNVD)等密切合作,确保通知到受影响的厂商,并为这些安全漏洞分配漏洞编号。

在公开披露之前,我们可能会将细节提供给阿里云的安全产品团队,以帮助建立主动防护措施,保护我们的用户。

安全漏洞会披露在本网站。