中兴通讯PSIRT(Product Security Incident Response Team)事件响应团队负责接收、处理和披露中兴通讯产品和解决方案相关的安全漏洞,是中兴通讯披露漏洞信息的唯一出口。其职责还包括制定公司安全事件管理策略及处理方案,分析系统软件提供商和专业安全厂商发布的漏洞及补丁、响应和处理客户、安全组织或个人公布的的安全事件。
中兴通讯鼓励全球安全从业人员、业界组织主动提交中兴通讯产品存在的安全漏洞,中兴通讯PSIRT将遵循ISO/IEC 30111、ISO/IEC 29147等行业标准处理提交的安全漏洞。
联系方式:中兴通讯PSIRT邮箱 psirt@zte.com.cn
中兴通讯鼓励全球安全从业人员、业界组织主动提交您发现的中兴通讯产品的安全漏洞,帮助我们一起持续提升和完善中兴通讯产品及服务的安全性。如您有发现我们的安全漏洞,欢迎您及时提交。提交途径:psirt@zte.com.cn.
提交范围:中兴通讯服务范围内的产品(不包含停止服务和支持产品),如提交产品在中兴通讯奖励计划范围内可获得相应奖励。
我们将对收到的安全漏洞,予以第一时间回复,通常情况下:
1个工作日内收到邮件回复确认;
7个工作日内收到漏洞验证结论;
漏洞处理过程中我们也会知会您最新处理进展。
为提高处理效率,请您遵循如下指引提供漏洞报告:
1、使用模板完整、准确填写。
2、由于安全漏洞属于敏感信息,为确保其机密性,强烈建议您使用中兴通讯的PGP公钥(key ID:FF095577)进行加密。
3、邮件主题:【产品名称-漏洞简述】
4、确保提交的报告不涉及知识产权问题,不包含法律或宗教所禁止的内容。
此外,在中兴通讯主动公开之前,希望您承担对此漏洞信息保密的义务,同时,中兴通讯承诺在漏洞修复和发布安全公告之前,为客户保密漏洞相关的敏感信息。
非安全漏洞相关问题请您咨询全球技术支持。
中兴通讯以“安全融入血脉,透明增进信任”为安全愿景,向客户交付安全可信的产品和服务。我们的安全治理覆盖供应链、研发、交付、事件响应和各支撑领域,形成了贯穿全生命周期的产品安全保障体系,中兴通讯PSIRT遵照法律法规、行业标准以及客户需求制定中兴通讯漏洞响应流程。
中兴通讯重视产品全生命周期的漏洞管理,遵循ISO/IEC 30111、ISO/IEC 29147等标准建立完整的漏洞响应流程,确保安全漏洞有效、迅速地处理,降低安全风险。
安全漏洞响应流程包括五个阶段:
1、漏洞接收:接收各相关方提交的安全漏洞。
中兴通讯鼓励全球安全从业人员、业界组织提交中兴通讯产品的安全漏洞。同时,中兴通讯PSIRT主动获取业界发布的威胁情报,甄别有效的漏洞信息。
2、分析验证:验证漏洞、分析影响、评估风险。
PSIRT对安全漏洞进行分析、验证,遵循CVSS标准对产品的安全漏洞进行分级和打分,相关安全专家进行评估结果审核确认,以确定最终评估结果。对于中兴通讯奖励计划范围内的安全漏洞予以奖励。
3、开发方案:确认产品受漏洞影响后,提供缓解措施和解决方案。
对于确认存在的安全漏洞,中兴通讯PSIRT联合产品团队一起制定、开发并提供漏洞修复方案(包括缓解措施、解决方案),有效应对和解决安全风险,保障客户数据和系统的安全与稳定。
4、披露和修复:与漏洞报告方和波及客户保持沟通、协助客户修复漏洞,完成漏洞协同披露。
在整个漏洞响应的过程中,中兴通讯与客户及相关方保持沟通、同步处理进展,协助客户尽早修复漏洞,完成漏洞协同披露。
5、复盘:从管理、技术等维度总结改进,提升漏洞处理效率和质量。
对于安全漏洞的发生,中兴通讯都将对其进行管理、技术根因分析,总结经验教训,持续优化漏洞响应流程、提升产品自身安全性,向客户交付安全可信的产品和服务。
漏洞披露策略
中兴通讯通过以下三种形式对外进行漏洞信息及修复方案的披露:
安全通告:安全通告包含漏洞严重等级、受影响产品和版本范围、业务影响以及修复方案等信息。通常用于对中兴通讯产品的严重、高危安全漏洞的信息及修复方案进行披露,以便客户获悉漏洞信息,评估风险;中兴通讯保留发布和持续更新漏洞通告的权利。
安全声明:安全声明包含漏洞描述、安全话题简述、最新处理进展等信息。用于对社会广泛关注和讨论的安全话题(含安全漏洞和非安全漏洞相关话题)进行披露,以便相关方及时了解中兴通讯的处理进展。
版本发布说明书:版本发布说明书包含已修复的漏洞信息。用于对研发过程中已修复的安全漏洞进行披露,以便客户了解产品的安全状况。
其他说明
1、中兴通讯PSIRT在处理漏洞时会严格控制漏洞信息的范围,仅在处理漏洞的相关人员之间传递。
2、中兴通讯PSIRT对以上策略具有最终解释权。
附录:
名称 | 定义 |
---|---|
ISO/IEC 29147 | 国际标准化组织制定的披露潜在漏洞准则 |
ISO/IEC 30111 | 国际标准化组织制定的漏洞管理流程 |
CVSS | Common Vulnerability Scoring System,通用漏洞评分系统 |
EOS | End of Service & Support,停止提供产品服务和支持的日期。包括软件维护版本或缺陷修复、硬件维修及备件更换,和针对该产品的所有支持服务(包括服务热线和远程/现场支持)。 |
中兴通讯致力于持续改善产品及服务的安全性,帮助广大用户获得安全可信的业务体验,特此设立漏洞奖励计划,欢迎全球安全从业人员/机构向我们反馈产品和服务的安全问题。我们承诺,您所报告的安全问题会及时跟进与反馈。
中兴通讯也在和GSMA CVD紧密合作,标准类相关的漏洞也可考虑提交GSMA Coordinated Vulnerability Disclosure (CVD) programme。
中兴通讯秉承公开透明的原则,确保潜在的产品漏洞信息及时披露给客户,并提供最终解决方案。
中兴通讯作为事件响应和安全团队论坛 (FIRST) 成员和CVE编号颁发机构 (CNA),我们将以更加公开的方式与客户及相关方进行协同披露。相关的披露信息可在CVE和我们公司网站上查询到。
请点击访问“公告信息”-安全通告栏目获取详细的公告信息。
中兴通讯定期发布漏洞奖励公告,公示排行榜。
备注:如果您不愿意展示您的名称,请邮件告知(psirt@zte.com.cn),我们将以“匿名”代替。