- 当前位置:
最新公告
05 2023 / 12
- 博流软件维护和安全回应策略
- 博流公告 作者:yl23411永利官网登录(中国)App Store 浏览量:2625
1、简介
博流一直积极致力于确保产品和软件解决方案的高度安全性,深刻认识到安全事件不仅对我们自身的业务构成潜在威胁,而且对我们的客户产品也构成了潜在威胁。 我们深知,安全事件是一种持续存在的挑战,对于我们的业务和客户的产品都可能产生重大影响。因此,我们高度重视这些问题,并积极采取应对措施以及相应的缓解措施,以确保您的产品和我们的业务都免受潜在风险的威胁。为了应对可能在博流硬件产品和软件解决方案中出现的安全事件,我们已经建立了以下详细的处理流程。
在本文档中,我们将仔细阐述这一流程,并郑重承诺定期审查和更新,以确保其有效性,并与业界最佳实践保持一致。 我们坚定地致力于维护您的产品和我们的业务的安全,确保双方都能安心运营。
2、安全事件处理流程
安全事件报告与处理流程一共分为四个部分:报告安全问题,评估安全问题,解决安全问题,发布解决方案。
2.1 报告安全问题
任何人员包括博流内部员工以及外部客户或者研究人员都可以向博流通报安全问题。报告人可以通过下载以下表格,描述安全问题,然后将表格发送至 bugreport@bouffalolab.com报告安全问题:
在报告潜在的安全问题时,请务必提供尽可能详尽的信息,以确保我们能够正确评估该问题漏洞。
您需要包括以下内容,但不仅限于此:
• 一个明晰而简洁的问题标题,明确指出受影响的产品,包括产品名称和型号。
• 详细的问题描述,包括测试使用的软件版本、硬件版本、所使用的工具和其他环境因素。
同时,要描述您期望的测试结果与实际的测试结果之间的差异,并阐明该问题可能对安全性造成的潜在影响。
• 完整的问题复现步骤,包括详细的测试代码(可编译并运行的代码)、调试日志,以及任何其他可能相关的信息。
需要注意的是,提供充足的信息可以显著减少漏洞评估的时间,有助于确保问题能够迅速得到解决。我们强调,充分的信息对于迅速而准确地处理潜在的安全漏洞至关重要。如果信息不足,可能会延迟漏洞的诊断和解决过程。
考虑到安全漏洞报告中可能存在敏感信息,我们强烈建议所有报告使用博流的 PGP/GPG 密钥以加密格式提交。
• 指纹:6A09 EE04 49A2 2119 4E08 68F8 B3A8 1AA6 3D76 870D
• 安全密钥.zip (ZIP, 4 KB)
请使用以下免费软件来读写 PGP/GPG 加密消息:
• Gpg4win
2.2 评估安全问题
• 检查评估报告是否包含所有必要的细节,包括信息提供、优先级分配以及跟踪方式的确认。
• 进行技术层面的分析和问题验证,以确定其对产品的潜在影响。同时,评估与问题相关的安全风险,并对问题进行分类。
• 初步评估所需时间:约 1 个月。
2.3 解决安全问题
• 对于验证后确实存在的漏洞,提出修复或缓解措施。
• 向报告提交者和其他相关人员传达响应措施:
– 修复措施的时间表和修复的版本。如果可行,请报告者验证补丁
– 如果可行,告之预计发布安全公告的时间表
• 部署修复和缓解措施
• 问题解决方案预估:约 2 个月
2.4 披露安全问题
在约定的发布时间:
1. 发布公告,披露该安全问题的调查结果,影响范围,缓解措施,以及在后续产品中的安全增强计划。
2. 如果可行,告之受影响的博流客户。
3. 预估时间:约 3 个月
3、披露政策
博流非常重视研究人员对于加强我们产品安全方面所做出的贡献,并认识到他们在此过程中的重要作用。为确保安全事件响应的有效性,我们会在24小时内,通过 bugreport@bouffalolab.com 向报告人确认我们收到该报告。
在协调漏洞披露的过程中,博流会严格保守机密信息。我们与安全研究人员之间共享的任何信息都将受到保密,并且仅用于处理报告漏洞的目的。我们鼓励安全研究人员不要在未经博流事先授权的情况下披露任何未解决或未发布的漏洞。博流由衷地感谢所有为保障我们产品和用户安全做出贡献的人。他们的努力和合作对于我们不断提升产品的安全性至关重要。我们将继续与安全研究人员合作,共同努力确保我们的产品能够抵御潜在的威胁,并为用户提供安全可靠的使用体验。
免责声明和版权公告
本文档中的信息,包括供参考的 URL 地址,如有变更,恕不另行通知。
本文档可能引用了第三方信息,所有引用信息均为“按现状”提供,博流将不对信息的准确性、真实性做任何保证。
博流不对本文档的内容做任何保证,包括内容的适销性、是否适用于特定用途,也不提供任何其他博流提案、规格书或样品在他处提到的任何保证。
博流不对本文档是否侵犯第三方权利做任何保证,也不对使用本文档内信息导致的任何侵犯知识产权的行为负责。本文档在此未以禁止反言或其他方式授予任何知识产权许可,不管是明示许可还是暗示许可。
版权归 © 2023 yl23411永利官网登录(中国)App Store科技(南京)股份有限公司。保留所有权利。
