永洪产品漏洞响应流程

2025.07.31 / View：0

北京永洪商智科技有限公司一直致力于保护广大客户的信息安全，并将网络安全作为公司的重要发展战略之一，从政策、组织、流程、管理、技术和规范等方面建立漏洞管理体系，以开放的方式与客户一起，共同应对网络安全漏洞的挑战。

永洪遵循行业ISO/IEC 29147、ISO/IEC 30111和国家GB/T 30276-2020等标准，建立完整的漏洞响应流程，确保安全漏洞有效、迅速地处理，降低安全风险。

安全漏洞响应流程包括六个阶段：

1. 漏洞收集

永洪PSIRT主动对知名公开漏洞库、开源社区、安全网站等信息源进行监测，及时感知永洪产品相关的威胁情报，甄别有效的漏洞信息。同时，永洪鼓励安全从业人员、业界组织和各相关方提交永洪产品的安全漏洞至PSIRT@yonghongtech.com。

2. 漏洞分析

永洪PSIRT在收到产品的安全漏洞后，对其影响进行分析，并遵循CVSS标准对其进行分级和打分，评估风险。

3. 漏洞预警

永洪与客户及相关方保持沟通，及时发布漏洞预警，提供缓解措施，协助客户尽早进行应急处置，完成漏洞协同处理。

4. 漏洞修复

对于确认存在的产品安全漏洞，永洪PSIRT联合产品安全团队一起制定、开发并提供漏洞修复方案（包括临时缓解措施和长期解决方案），有效应对和解决安全风险，保障客户数据和系统的安全。

5. 漏洞测试

安全测试工程师对修复方案进行安全分析，并对所有涉及漏洞的修复版本进行补丁测试。

6. 补丁发布

将漏洞修复的长期解决方案合入产品版本，测试通过后进行补丁发布。

对于历史发生的安全漏洞，永洪都将对其进行管理、技术根因分析，总结经验教训，持续优化漏洞响应流程、提升产品自身安全性，向客户交付安全可信的产品和服务。

永洪通过以下两种形式对外进行漏洞信息及修复方案的披露：

1. 安全通告

安全通告包含漏洞严重等级、受影响产品和版本范围、业务影响以及修复方案等信息。通常用于对永洪产品的严重、高危安全漏洞的信息及修复方案进行披露，以便客户获悉漏洞信息，评估风险；永洪保留发布和持续更新漏洞通告的权利。

安全通告渠道如下：

2. 版本发布说明

版本发布说明包含已修复的漏洞信息。用于对研发过程中已修复的安全漏洞进行披露，以便客户了解产品的安全状况。

本流程中使用了如下定义：

名称	定义
ISO/IEC 29147	国际标准化组织制定的漏洞披露准则
ISO/IEC 30111	国际标准化组织制定的漏洞管理流程
GB/T 30276-2020	信息安全技术网络安全漏洞管理规范
PSIRT	Product Security Incident Response Team，产品安全事件应急团队
CVSS	Common Vulnerability Scoring System，通用漏洞评分系统
SLA	Service Level Agreement服务等级协议

1. 永洪PSIRT在处理漏洞时会严格控制漏洞信息的范围，仅在处理漏洞的相关人员之间传递。

2. 永洪PSIRT对以上流程具有最终解释权。