联想致力于提供安全可靠的产品和服务。发现漏洞后,我们会努力研究并解决问题。 本文将介绍联想向用户通告受支持产品和服务中的潜在安全漏洞的政策。
按照报告产品安全漏洞的说明通知我们联想产品中的安全漏洞。
联想加入了“协调漏洞披露”计划,并强烈建议我们的供应商和研究人员也加入该计划。这意味着一旦有缓解措施,联想就会公开披露漏洞。“协调漏洞披露”可以保护用户免受网络犯罪的侵害,因为在公开披露时会提供缓解措施。有关更多信息,请参阅 CERT? 协调漏洞披露指南。联想不会在安全漏洞公开或禁令解除之前披露漏洞。
安全公告是发布与我们的产品和服务相关的漏洞信息的主要方法,可以在我们的“安全公告”网页上找到。我们会在确定了针对特定安全漏洞的实用解决方法、缓解措施或修复程序后酌情发布公告。 但如果该漏洞已被安全社区广泛知晓,我们也可能在没有解决方法的情况下发布公告。
如果被第三方告知联想的产品可能存在漏洞,联想将展开调查并可能与该第三方合作披露该漏洞。联想可能会收到某供应商根据保密/禁止披露协议或禁令发来的关于安全漏洞的信息。在这些情况下,联想将无法提供关于该安全漏洞的详情,但是会与该供应商合作请求发布安全修复程序。
联想不会发布有关开源漏洞的安全公告,但在适当的情况下可能会这样做。开源修复程序可以在发行说明中通过所分配的 CVE 进行标识。
我们的安全公告包含以下几个部分:
联想遵循标准的行业最佳实践,按照“严重”、“高”、“中”、“低”的漏洞评分或评级来指定漏洞的潜在影响。
这种方法遵循通用漏洞评分系统(CVSS3.1),该系统提供了一个开放的框架来沟通漏洞的特征和影响。借助 CVSS,IT 经理、漏洞公告提供方、安全供应商、应用程序供应商和研究人员都能通过采用通用的漏洞评分语言而受益。
安全公告中包含一个已知受影响的联想产品列表。联想建议客户访问安全公告网站,以随时了解公告状态。
我们会在征得漏洞研究人员或发现者同意的情况下向他们致谢。
如果有关于漏洞的其他信息,公告将提供这些参考资料的链接, 包括 CVE、博客或文章引用的链接。
在我们更新公告后,修订历史会显示更新的内容和更新时间。
产品发行说明中包含的与安全更新有关的信息将引用 CVE 或内部 LEN 跟踪号。
两者均包含在我们所发布的适用的安全公告中。如果联想认为尽快更新符合客户的最大利益,可能会在发布安全公告之前发布修复措施。公告发布后,可以通过参考发行说明中的 LEN 跟踪编号来找到有关该漏洞的信息。发行说明中包含的与开源漏洞修复有关的信息将包含已发布的 CVE。
我们将尽最大努力尽快解决受支持产品中的漏洞。但是,由于修复复杂性、质量测试、禁令和跨供应商协调等因素,无法针对任何具体问题或问题类型提供有保证的响应级别。