为了保护客户和他们的数据承诺基于最高安全标准去开发产品和服务。Lenovo欢迎每一个安全研究员、学者和其他广泛的安全领域的从业人员给我们提供潜在的联想产品安全漏洞信息。
Lenovo产品安全应急响应团队(PSIRT)将时刻准备与任何一位提供漏洞的人进行合作,并承诺在两个工作日内确认所有递交的信息。PSIRT将对事件进行调查、研究或修复源码,之后会尽快给联想客户提供修复计划。联想也会基于通用漏洞披露(CVE-Common Vulnerabilities and Exposures)权威编号机构(CNA-CVE Number Authority)的信息共享和禁止发表策略来指定CVE标识符。
通用漏洞披露(CVE®)由独立的非盈利组织MITRE负责维护,它是一个公开已知的信息安全漏洞和已经暴露出来的产品安全弱点的字典表。一个CVE代表着一个独立的安全漏洞,方便供应方、研究人员和客户去讨论它。
Lenovo为产品漏洞分配CVE标识符,漏洞信息将在一定时间段内保持隐私状态。Lenovo要求漏洞发现者在禁止发表的期限内持续为此保密,此期限从CVE建立请求开始到协商的漏洞公开披露日期结束。Lenovo在漏洞披露时公开致谢漏洞发现者。
CNA的策略是CVE标识符申请对于任何有利益冲突的人来说都是不可见的。只能由联想的员工来申请CVE标识符。他们将无法为其他组织申请CVE标识符,使用CVE标识符,生产或销售有CVE漏洞的产品。
• Lenovo一直建议客户使用最新版本的平台软件(如BIOS、BMC/TSM、固件等)。因此,联想只对联想服务平台上发布的最新版本的软件进行安全评估。
• 与联想PC、平板电脑和配件相关的产品安全漏洞,请发邮件至psirt@lenovo.com。您也可以使用联想产品安全应急小组的PGP密钥去加密敏感信息(点此处下载我们的PGP公钥)。与联想和摩托罗拉品牌的手机产品相关的安全漏洞,请发邮件至 secure@motorola.com 。请您提供尽可能多的信息,包括产品名称和受影响的版本,漏洞的描述细节以及任何已知的被利用信息。也请附上您的PGP密钥使我们之间能沟通一些敏感的事情。更多的具体细节请参考联想漏洞披露策略页面内容。
• 与联想集团网站相关的任何漏洞,请发邮件至 lsrc@lenovo.com。
• 与操作系统(OS)相关的安全漏洞,Lenovo建议您联系操作系统的供应商。
• 如果您需要去报告一起丢失或者产品被偷窃,或者需要其他技术支持,请直接按照您所购买的产品上所提供的服务电话进行咨询。
推荐访问联想产品安全通告,了解最新发布的相关信息。
