卓翼对漏洞管理的原则

卓翼公司一直将构筑并全面实施“端到端的全球网络安全保障体系”作为公司的重要发展战略之一，并从政策、组织、流程、管理、技术和规范等方面建立可持续、可信赖的漏洞管理体系，以开放的方式，与外部利益相关方一起，共同应对漏洞的挑战。
为明确卓翼公司对漏洞的基本立场和主张，卓翼公司对漏洞管理提出五项最基本的原则：
1、减少伤害和降低风险
减少或消除卓翼产品、服务漏洞给客户带来的伤害，降低漏洞给客户/用户带来的潜在安全风险，既是我们漏洞管理的愿景，也是我们在漏洞处置&漏洞披露时所遵循的价值指引。
2、减少和消减漏洞
尽管业界共识漏洞是不可避免的，但我们仍将努力：1）采取措施减少产品和服务中的漏洞；2）一旦发现产品和服务中的漏洞，及时向客户/用户提供风险消减方案。
3、主动管理
漏洞问题需要供应链上下游通力合作来解决，我们将主动识别自身在漏洞管理的责任和厘清管辖边界要求，包括业务运营适用的法规要求、合同要求、适用的公开标准要求等，构建管理系统，主动管理。
4、持续优化
网络安全是持续演进的动态过程，伴随威胁的演进，防守方也需要持续创新。我们将持续优化漏洞管理相关的工作流程和规范，不断借鉴行业标准和业界优秀实践，提升自身对漏洞管理的成熟度。
5、开放协同
我们将秉持开放合作的态度，加强供应链和外部安全生态的连接，包括供应链上下游、安全研究者、安全公司、安全监管机构等；并在漏洞相关的工作中加强与利益相关方的协同，构筑可信赖的合作关系。
依据以上原则，卓翼公司建立了完善的漏洞管理流程。卓翼公司始终秉承负责任的态度，致力于以最大程度保护客户，降低漏洞被利用的风险。
漏洞处理流程
卓翼公司致力于提升卓翼产品的安全性，全力支持客户网络和业务的安全运营。卓翼公司重视产品开发和维护的漏洞管理，建立完整的漏洞处理流程，以提升产品安全性，确保在发现漏洞时及时响应。

1. 漏洞感知：接受和收集产品的疑似漏洞；

2. 验证&评估：确认疑似漏洞的有效性和影响范围；

3. 漏洞修补：制定并落实漏洞修补方案；

4. 漏洞修补信息发布：面向客户发布漏洞修补信息；

5. 闭环改进：结合客户意见和实践持续改进。

第一时间感知到漏洞，是及时响应的重要前提。一方面，卓翼公司鼓励安全研究人员、行业组织、客户和供应商等主动向卓翼PSIRT上报疑似漏洞，并约束上游供应商，及时将交付件中的漏洞报告给卓翼公司。另一方面，卓翼公司主动对知名公开漏洞库、开源社区、安全网站等信息源进行监测，及时感知卓翼产品相关的漏洞信息。卓翼公司会对感知到的疑似漏洞进行管理，核查所有未EOS（End of Service & Support）产品版本的受影响情况。
对于任何上报给卓翼PSIRT的疑似漏洞，PSIRT将与产品团队一起分析/验证漏洞，结合漏洞对产品实际影响进行漏洞严重等级评估，以确定修补优先级并开发漏洞修补方案（包括缓解措施、补丁/版本等客户可执行的风险消减方案）。卓翼公司基于减少伤害和降低风险的原则，向利益相关者发布漏洞信息，支撑客户评估漏洞对其网络的实际风险。
如果在产品开发、交付、部署过程中，卓翼公司发现供应商的产品或服务中的漏洞，将主动向供应商传递修补要求。
卓翼PSIRT将与漏洞上报者协调处理，作为协调者或通过第三方协调中心，将漏洞报给其他厂商、标准组织等，推动漏洞解决。如漏洞涉及标准协议等，建议上报者提交给卓翼PSIRT的同时，也同步知会行业组织。例如：与3GPP通讯协议相关的漏洞，可同步提交给GSMA协调漏洞披露计划（CVD）。
基于持续优化的原则，卓翼公司将在提升产品安全性、漏洞处理流程等方面持续改进。
在整个漏洞处理的过程中，卓翼PSIRT会严格控制漏洞信息的范围，仅在处理漏洞的相关人员之间传递；同时也请求上报者在我们的客户获得完整的解决方案前，对此漏洞信息进行保密。
卓翼公司将基于法律合规要求对所获取的数据采取必要、合理的保护措施。除非受影响客户明确提出要求或法律规定，卓翼不会主动向其他方共享或披露上述数据。
漏洞严重等级评估
卓翼公司采用业界通用标准对产品中的疑似漏洞进行严重等级评估。以CVSS（Common Vulnerability Scoring System，通用漏洞评分系统）为例，该模型包括三个指标组：基础指标组、时间指标组和环境指标组。卓翼公司将提供基础漏洞评分，在某些情况下，将提供时间漏洞评分和典型场景下的环境漏洞评分。卓翼公司鼓励最终用户根据其网络实际情况评估环境漏洞评分，作为此漏洞在用户特定环境最终漏洞评分，支撑用户漏洞消减方案部署决策。
因为不同产业遵循不同标准，卓翼公司使用安全严重等级（SSR：Security Severity Rating）作为更简单的分级方法，SSR基于漏洞严重等级评估综合得分进行等级分类，将漏洞分为严重（Critical）、高（High）、中（Medium）、低（Low）以及信息类（Informational）共五个级别。
第三方软件漏洞
由于卓翼产品集成第三方软件/组件的方式和场景的多样性，卓翼公司会根据产品的具体场景对第三方软件/组件的漏洞评分进行相应的调整，以反映漏洞的真实影响。如：某第三方软件/组件受影响的模块没有被调用，则认为该漏洞“无法被利用，不受影响”。如现有评估体系无法覆盖评估的维度时，卓翼公司负责对评估结果进行解释。
如果同时满足以下三条标准，卓翼公司将此漏洞标识“High Profile”：
·       CVSS 分数为4.0及以上。
·       该漏洞引起了公众的广泛关注。
·       该漏洞很可能或已经有可用的Exploit（漏洞利用程序），可能或正在被活跃利用。
对于“High profile”的第三方漏洞，卓翼公司将核查所有未EOS的产品版本，并在确认为“High profile”漏洞后，24小时内发布SN（安全通知）以向相关客户通知卓翼公司对此漏洞处理的情况，当有漏洞修补方案后，卓翼公司会通过SA（安全通告）为相关受影响客户提供风险决策和消减支持。对于未归类到“High profile”的第三方漏洞，卓翼公司在版本/补丁说明书中说明。
发布漏洞信息公告
公告形式
卓翼公司对外发布漏洞信息及修补方案采用如下三种形式：

· 安全通告：SA（Security Advisory)，安全通告包含漏洞严重等级、业务影响和修补方案等信息，用以传递漏洞修补方案。安全通告（SA）用于发布卓翼产品直接相关的严重（Critical）和高（High）等级的漏洞信息及修补方案。安全通告（SA）提供下载通用漏洞报告框架（CVRF）内容的选项，旨在以机器可读格式（XML文件）描述漏洞信息，以支持受影响客户的工具使用。

· 安全公告：SN（Security Notice），安全公告包含对产品公开安全话题的回应（含漏洞和非漏洞相关话题）。安全公告（SN）用于发布SSR评估为信息类（Informational）的问题相关信息，如公共论坛（如博客或讨论列表）中讨论的信息。同时，对有可能引起公众对卓翼产品版本中漏洞的广泛关注或卓翼公司已经观察到漏洞活跃利用等特殊场景下，安全公告（SN）也作为一种回应方式，以便相关客户了解卓翼公司对此漏洞的响应进展。

· 版本/补丁说明书：RN（Release Note），版本/补丁说明书包含已修补的漏洞信息。作为产品版本/补丁发布的配套交付件的一部分，用于说明SSR评估为中（Medium）和低（Low）等级的漏洞。为方便客户从版本/补丁视角，综合评估版本/补丁的漏洞风险，版本/补丁说明书（RN）中也包含通过安全通告（SA）发布的漏洞信息及修补方案。对于终端场景，卓翼公司在例行补丁公告中包含。

公告渠道
卓翼公司发布安全通告（SA）和安全公告（SN），支撑相关客户获取漏洞修补信息。版本/补丁说明书（RN）作为产品版本/补丁发布的配套交付件的一部分，客户可通过产品版本/补丁的获取渠道获取。
公告计划
满足下面一个或多个条件时，卓翼公司将发布SN或SA，为客户提供现网风险决策支持。
·       安全严重等级（SSR）被定义为“严重（Critical）”或“高（High）”的漏洞，卓翼公司完成漏洞响应流程，可以提供漏洞修补方案支持客户进行现网风险消减。
·       可能引起公众对卓翼产品版本中漏洞的广泛关注或卓翼公司已经观察到漏洞被活跃利用，该漏洞可能导致卓翼客户面临的风险增加时，卓翼公司会加速响应过程并更新漏洞响应进展。
软件更新的获取说明
漏洞管理基于产品/软件版本的生命周期里程碑进行管理，卓翼PSIRT将对停止服务与支持（EOS）前所有产品版本的漏洞进行管理。漏洞修补将在EOFS(停止全面支持)前提供，EOFS后酌情修补SSR中严重（Critical）或高（High）的漏洞。产品团队可能存在定义本策略外的里程碑点，针对此类漏洞修补情况，应查阅具体产品文档，以了解提供的修复支持。
客户可以依据合同升级到新的产品/软件版本或安装最新补丁消减漏洞风险。 客户只能获取和使用已购买有效许可（现行的已激活许可）的软件版本，修补漏洞的产品/版本不赋予客户获得新软件许可、其他软件功能/特性或主要版本升级的权利。
免责&保留权限
本文如有多个语种的版本，不同语种如有差异，以“中文”版本为准。本文的策略描述不构成保证或承诺，也不能构成任何合同的一部分，卓翼可酌情对上述策略进行调整。
卓翼公司保留随时更改或更新本文档的权利，我们会在必要时更新本策略说明以增加透明度或更加积极地响应，例如：

·       客户、监管机构、行业或其他利益相关方的反馈。

·       整体策略的变更。

·       最佳实践的引入等。

在发布本策略声明的更改时，我们将修订本策略底部的“更新日期”。

定义

本策略中使用了如下定义：

名称	定义
CVSS	Common Vulnerability Scoring System，通用漏洞评分系统
GSMA CVD	GSMA Coordinated Vulnerability Disclosure，GSMA协同漏洞披露
SSR	Security Severity Rating，安全严重等级
EOFS	End of Full Support，停止全面支持。对版本新发现的缺陷停止修复，不再提供新的补丁版本，已发现的缺陷将继续进行技术分析和修复；
EOS	End of Service & Support，停止服务与支持。不再提供任何技术服务支持，包含新问题的定位和缺陷修复。