联想产品安全漏洞发布策略

Lenovo 致力于提供安全可靠的产品和服务。发现漏洞后,我们会努力研究并解决问题。本文将介绍 Lenovo 产品和服务中相关潜在安全漏洞的上报接收政策,以及为客户提供已核实漏洞的标准做法。

何时联系产品安全事件响应团队(PSIRT)

如果您发现我们的某种产品存在安全漏洞,请发送电子邮件到 psirt@lenovo.com 以联系 Lenovo 产品安全事件响应团队(PSIRT)。收到您的事件报告后,相应人员将会与您取得联系以进行跟进。

为确保机密性,我们建议您对通过电子邮件发送给我们的任何敏感信息进行加密。我们能够收到使用 OpenPGP 加密的电子邮件。您可以从我们的安全公告页面获取可用于发送加密电子邮件的公钥副本。

psirt@lenovo.com 电子邮件地址仅用于报告产品或服务的安全漏洞,不用于我们产品或服务的技术支持信息。除了特定于我们产品或服务的安全漏洞之外的所有其他内容都将被忽略。如有技术和客户支持问题,请点击此处

Lenovo 将尽量在两个工作日内确认接收所有提交的报告。

接收来自 Lenovo 的安全信息

我们的安全网站发布关于我们产品和服务的安全公告的技术信息。大多数情况下,我们会在确定针对特定安全漏洞的解决方法后或提供修补程序时发布通知,但是我们也有可能在该漏洞已被安全社区广泛知晓但缺乏解决方法时发布通知。由于每个安全漏洞的具体情况不同,Lenovo 会基于事实处理每个漏洞。

如果被第三方告知 Lenovo 的产品可能存在漏洞,Lenovo 将展开调查并可能与该第三方合作以披露该漏洞。在某些情况下,Lenovo 可能会收到某供应商根据保密或禁止披露协议发来的关于安全漏洞的信息。在这些情况下,Lenovo 将无法提供关于该安全漏洞的详情,但是会与该供应商合作请求发布安全修补程序。

重要性

Lenovo使用业界标准方法给漏洞定性评级为:特别严重,高危,中危,低危。联想安全漏洞定性评级遵循通用漏洞评分系统(CVSS)。

通用漏洞评分系统(CVSS)提供了开放的框架,便于沟通 IT 漏洞的特征和影响。CVSS 包括三个组:基本组、现状组和环境组。每个组都会生成一个从 0 到 10 的数字分数和一个矢量,矢量是一种压缩的文本形式,可反映得出分数所使用的值。基本组可表示漏洞的内在本质。现状组可反映漏洞随时间变化的特征。环境组可表示任何用户环境特有的漏洞的特征。 借助 CVSS,IT 经理、漏洞公告提供方、安全供应商、应用程序供应商和研究人员都能通过采用通用的 IT 漏洞评分语言而受益。有关 CVSS 的更多信息,请点击此处进入了解

描述

安全通告将对漏洞进行明确描述,包括其名称、形成原因及其他可用信息。公告还将提供与漏洞相关的已知威胁(例如,存在可攻击漏洞或概念验证代码以及事件活动的讨论或证据)的信息,并将介绍漏洞的潜在或预期结果。

产品影响

一般而言,安全通告包括一个 Lenovo 产品列表,这些产品带有“受到影响”、“未受影响”或“正在研究”的状态说明。受影响的产品将包括一个链接,该链接指向可通过 Lenovo 支持站点(所有更新都在此发布)下载的修补程序,或者包括推荐的解决方法,修复的目标日期。如果漏洞只限于某个特定的产品系列,Lenovo 将只提供受影响产品的列表。在有必要时,Lenovo 会在完成对所有产品的影响评估之前发布安全公告。在这种情况下,将显示“正在研究”的状态。建议客户访问安全公告以随时了解我们的状态。

解决方案

对于产品漏洞,公告将提供关于如何获取修补程序或安全补丁的信息。在某些情况下,Lenovo 可能会建议客户采取某种解决方法,以便通过操作或在不使用安全修补程序或补丁的情况下以某种方式限制使用受影响的产品来保护这些产品。

参考

如果发布了有关漏洞的更多信息,公告将提供链接作为参考。这包括 CVE 或博客或文章的链接。

致谢

在通常情况下,Lenovo 会在征得漏洞发现者的同意后对漏洞的发现者表示感谢。

修订历史

当公告更新时,修订历史将显示修订内容及时间。

发行说明(自述或变更历史)

产品发布说明中包含的与安全更新相关的信息将引用CVE或内部LEN跟踪号。两者都包含在我们发布的安全公告中。当联想认为尽快更新符合客户的最佳利益时,补救措施可能会在安全公告发布之前发布。有关漏洞的信息可以在发布通知后通过参考发布说明中的LEN跟踪号找到。发布说明中包含的与开源漏洞修复相关的信息将包括已发布的CVE。

我们会尽最大努力尽快解决受支持产品中的漏洞。但是,由于修复的复杂性、质量测试、禁运和跨供应商协调等因素,我们无法保证对任何特定问题或问题类别的响应级别。

注意:联想会向报告方提供收到确认和定期状态更新,即使实际的漏洞状态更新时间表可能因漏洞的风险级别和复杂程度而有所不同。