安全警告
阿尔卡特朗讯企业产品安全事件响应小组(ALE PSIRT)专门负责管理请求, 调查并报告影响我们产品和解决方案的漏洞或技术问题.
我们了解安全产品和解决方案对客户的重要性. 我们的目标是确保阿尔卡特朗讯企业产品的开发以所有适当的安全原则为基础. 我们遵循全面的安全计划,其中包括:
- 确保软件开发的最佳实践、过程和工具
- 严格的产品安全要求
- 发布前的定期验证和质量安全测试
尽管有这些安全原则和相关的操作, 漏洞可以在产品软件组件中被发现, 当利用, 一旦产品部署到客户的网络中,是否会对产品的安全级别产生影响.
产品安全事件响应流程总结
- ALE PSIRT收到安全警报或报告(业务伙伴、客户、……)发送一个在 漏洞汇总报告 (VSR)至ALE PSIRT (PSIRT@106bx.com).
- ALE PSIRT向报告者确认收到了VSR.
- ALE PSIRT根据ALE产品是否存在风险来分析ALE上下文中漏洞的相关性. A 漏洞分析报告 (VAR)是在内部漏洞管理SharePoint中创建的. VAR将作为ALE PSIRT在整个过程中跟踪分析的参考. 对漏洞的严重性进行重新评估 通用漏洞评分系统版本3.1计算器.
- ALE PSIRT通知漏洞分析小组(PSP和PSS)关于VAR.
- Product 安全 Prime完成VAR, 用于标识产品的漏洞状态. 可能需要多个步骤来提供解决问题的临时步骤(通过配置), 施加限制, 或者找到一个变通方法), 在找到最终解决方案之前.
- 记者将被定期告知正在进行的漏洞调查. 最值得注意的是,ALE PSIRT将把分析结论传达给记者.
- 如果有任何影响被确认, 当有补救措施时, ALE PSIRT将协调修复和影响评估, 和定义, 与产品线团队一起, 决议交付时间框架, 通知计划及向公共机构(如mitre)披露.org和CERT组织. 当有足够的信息可以交流时, 安全咨询委员会将要求创建或更新 安全咨询 (SA).
- ALE PSIRT将在ALE PSIRT网站上发布SA, 通知外部ALE相关方,如合作伙伴和客户.
- ALE PSIRT邮件列表订阅者将收到关于已发布SA的通知. 任何人都可以从ALE PSIRT网站订阅邮件列表.
- 任何有兴趣的人都可以访问ALE PSIRT网站并阅读安全公告.
如何报告可疑的安全漏洞
我们强烈建议遇到ALE产品或解决方案的技术安全问题的个人或组织通过以下步骤ContactALE PSIRT报告问题:
- 完成 漏洞摘要报告(VSR).
- 将完成的报告发送至以下邮箱: PSIRT@106bx.com
- 出于保密原因,请考虑使用ALE PGP公钥
在与记者保持讨论的同时,将遵循ALE PSIRT程序. 在漏洞解决过程中,与所有相关方的沟通是一项关键活动.
阿尔卡特朗讯企业客户也可以通过他们通常的支持渠道报告可疑的安全漏洞. 取决于客户维护合同, 这些联络点将能够在更一般的情况下提供协助,例如:
- 确定是否存在安全问题的技术援助
- 为特定的安全相关功能配置ALE产品
- 关于已宣布的ALE产品安全问题的答案
- 实现任何避免漏洞的变通方法
保密- ALE PSIRT PGP公钥:
ALE PSIRT流程确保未经授权的ALE员工和外部用户都无法访问事件报告人员提供的信息. ALE还根据要求保证, 事件报告人的姓名将不会在公开通信中披露,也不会用于进一步的外部分发. 类似的, ALE PSIRT要求事件报告者严格保密,直到完整的解决方案提供给客户,并由ALE PSIRT通过适当的协调披露在ALE网站上公布. 确保报告的保密性以及与ALE PSIRT沟通的后续步骤, 我们鼓励使用ALE PGP公钥发送加密消息,并返回事件报告方的公共PGP密钥.
- 电子邮件: PSIRT@106bx.com
- 公钥可以在 http://keyserver.pgp.com
请注意,不应该ContactALE PSIRT来报告或获得在部署的网络和解决方案中“实时”发生的安全事件的支持. 此类事件只能通过通常的客户支持渠道报告.
第三方软件漏洞
ALE PSIRT与第三方协调中心合作,例如 CERT-IST, NVD 和 us - cert 管理ALE产品和解决方案中嵌入或使用的第三方软件报告的漏洞通知. 这些报告使用唯一的通用漏洞和暴露(Common Vulnerabilities 和 Exposures, CVE)编号来引用. 每个发布的CVE都由ALE团队进行分析,以提供一个调整后的风险评分,反映对我们产品的有效影响.
严重程度评估
当漏洞被发现时, 内部或外部, 通过穿透测试, 证书报告, 或者从田野里, 在ALE产品的上下文中限定漏洞是很重要的.
为了帮助这一资格认证过程,ALE使用了FIRST组织开发的工具 CVSS版本3.1计算器.
通过回答一些问题,为漏洞建立一个新的分数.
重新认证的分数被称为ALE漏洞评分系统(AVSS)。.
评级 | CVSS / AVSS得分 |
不影响 | 0.0 |
低 | 0.1 - 3.9 |
媒介 | 4.0 - 6.9 |
高 | 7.0 - 8.9 |
至关重要的 | 9.0 - 10.0 |
安全谘询披露
如果存在以下一种或多种情况,ALE将公开披露安全公告:
- 事件响应流程已完成,并已确定存在足够的软件补丁或变通方法来解决该漏洞, 或者计划随后公开披露代码修复,以解决高到严重级别的漏洞.
- 已观察到有人积极利用该漏洞,这可能会增加我们客户的风险. 在发布可用补丁或更正之前,可能会发布早期安全公告,以告知客户潜在风险.
- 有关漏洞的公开信息可能会使我们的客户面临潜在的增加风险. 在发布可用补丁或更正之前,可能会发布早期安全公告,以告知客户潜在风险.
ALE保留在例外情况下偏离此政策的权利,以确保软件补丁的可用性和我们客户的安全.