1漏洞响应
漏洞处理流程
漏洞接收:外部安全研究者发现漏洞后,将漏洞验证/漏洞利用细节信息通过PGP公钥加密后发送至安全邮箱[security@edgegallery.org]。
漏洞验证:社区漏洞管理团队接收到上报漏洞后对漏洞进行验证,判断漏洞的有效性,结果包括有效漏洞、重复漏洞、非漏洞。
漏洞影响分析:分析漏洞影响的严重性程度、影响范围等。
申请CVE:准备材料,向MITRE网站发起CVE申请。
漏洞修补:提出漏洞修补建议,并分发到对应模块负责人进行漏洞修补。
漏洞披露:评审并发布安全公告SA(Security Advisory)。
2漏洞管理团队
EdgeGallery漏洞管理团队VMT(Vulnerability Management Team)由社区内的安全管理专家参与成立,EdgeGallery漏洞管理团队致力于通过架构、文档、安全测试、安全质量要求、代码审查和漏洞管理来改进EdgeGallery安全。VMT负责EdgeGallery的漏洞响应收集、分析验证、修复及披露的整体处置流程。
3VMT主要职责
1.漏洞源监控:负责接收来自外部上报的安全漏洞。
2.漏洞验证:根据上报者提供的漏洞信息,验证漏洞是否存在。
3.漏洞影响分析:VMT组织漏洞影响分析。如果是外部上报漏洞,还要将分析结果反馈给上报者。
4.申请CVE:VMT负责CVE申请,包括材料准备,提交申请,与漏洞上报者沟通申请结果等内容。
5.漏洞分发修补:对已确认的漏洞,提出修补建议,并分发到对应模块负责人进行漏洞修补。
6.漏洞披露:负责安全公告SA(Security Advisory)的编写,组织评审,并最终发布。
7.内外部沟通:与漏洞上报者、社区各模块安全/开发负责人的沟通协调。
8.基础设施保障:保障漏洞扫描/漏洞处理工具的正常运行,提出安全工具的优化需求。
4VMT主要成员、职责及联系方式
通用联系邮箱: security@edgegallery.org
张倍源 [zhangbeiyuan@huawei.com] 职责:内外部沟通、漏洞分发修补
周艳兵 [zhouyanbing.zhou@huawei.com] 职责:漏洞验证、漏洞影响分析
扈冰 [hubing62@huawei.com] 职责:漏洞源监控、漏洞验证、申请CVE、漏洞披露、基础设施保障。
注:如果发送内容包含敏感信息(如漏洞验证/漏洞利用细节),请使用 [PGP公钥] 加密发送内容。
5漏洞上报
漏洞上报流程
如何向EdgeGallery社区上报安全漏洞?
EdgeGallery欢迎外部安全研究人员发现并上报安全漏洞,来共同提高EdgeGallery安全性。如果您发现了疑似安全漏洞,请勿扩散,请按照 [安全漏洞上报模板] 填写漏洞信息(请务必填写详细的漏洞验证过程及必要的POC/EXP代码,以便我们更快确认漏洞),并发送邮件至EdgeGallery安全邮箱 (security@edgegallery.org),EdgeGallery社区会在3个工作日内安排人员和您联系,及时反馈漏洞确认结果、漏洞处理进度等信息。
注:如果发送内容包含敏感信息(如漏洞验证/漏洞利用细节),建议使用安全漏洞上报专用 [PGP公钥] 加密发送内容。
6PGP公钥
—–BEGIN PGP PUBLIC KEY BLOCK—–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=1kOJ
—–END PGP PUBLIC KEY BLOCK—–
1漏洞响应
漏洞处理流程
漏洞接收:外部安全发现漏洞后,将漏洞/漏洞利用信息发送至安全邮箱[security@gallery.org]。
验证漏洞:社区漏洞管理团队接收到上报漏洞后对漏洞进行验证,判断漏洞的漏洞,结果包括有效漏洞、重复漏洞、非漏洞。
漏洞影响分析:分析漏洞影响的严重性程度、影响范围等。
申请CVE:准备材料,向MITRE网站发起CVE申请。
演讲,并发表演讲演讲建议,传达给模块负责人进行演讲。
漏洞披露:审核并发布安全公告SA(Security Advisory)。
2漏洞管理团队
EdgeGallery漏洞管理团队VMT(Vulnerability Management Team)由社区内的安全管理专家参与成立,EdgeGallery漏洞管理团队致力于通过架构、文档、安全测试、安全质量要求、代码审查和漏洞管理来改进EdgeGallery安全。VMT负责EdgeGallery的漏洞响应收集、分析验证、修复及披露的整体处置流程。
3VMT主要职责
1.漏洞源监控:负责接收来自外部上报的安全漏洞。
2.漏洞验证:根据上报者提供的漏洞信息,验证漏洞是否存在。
3.漏洞影响分析:VMT组织漏洞影响分析。如果是外部上报漏洞,还要将分析结果反馈给上报者。
4.申请CVE:VMT负责CVE申请,包括材料准备,提交申请,与漏洞上报者沟通申请结果等内容。
5.漏洞分发修补:对已确认的漏洞,提出修补建议,并分发到对应模块负责人进行漏洞修补。
6.漏洞披露:负责安全公告SA(Security Advisory)的编写,组织评审,并最终发布。
7.内外部沟通:与漏洞上报者、社区各模块安全/开发负责人的沟通协调。
8.基础设施保障:保障漏洞扫描/漏洞处理工具的正常运行,提出安全工具的优化需求。
4VMT主要成员、职责及联系方式
通用联系邮箱: security@edgegallery.org
张倍源 [zhangbeiyuan@huawei.com] 职责:内外部沟通、漏洞分发修补
周艳兵 [zhouyanbing.zhou@huawei.com] 职责:漏洞验证、漏洞影响分析
扈冰 [hubing62@huawei.com] 职责:漏洞源监控、漏洞验证、申请CVE、漏洞披露、基础设施保障。
注:如果发送内容包含敏感信息(如漏洞验证/漏洞利用细节),请使用 [PGP公钥] 加密发送内容。
5漏洞上报
漏洞上报流程
如何向EdgeGallery社区上报安全漏洞?
EdgeGallery欢迎外部安全研究人员发现并上报安全漏洞,来共同提高EdgeGallery安全性。如果您发现了疑似安全漏洞,请勿扩散,请按照 [安全漏洞上报模板] 填写漏洞信息(请务必填写详细的漏洞验证过程及必要的POC/EXP代码,以便我们更快确认漏洞),并发送邮件至EdgeGallery安全邮箱 (security@edgegallery.org),EdgeGallery社区会在3个工作日内安排人员和您联系,及时反馈漏洞确认结果、漏洞处理进度等信息。
注:如果发送内容包含敏感信息(如漏洞验证/漏洞利用细节),建议使用安全漏洞上报专用 [PGP公钥] 加密发送内容。
6PGP公钥
—–BEGIN PGP PUBLIC KEY BLOCK—–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=1kOJ
—–END PGP PUBLIC KEY BLOCK—–
