【摘要】:漏洞一般在用户使用的过程中被发现,此时,迅速确认、响应、修复漏洞是非常重要的。由于软件的维护是一个长期的过程,因此,软件的维护和跟踪要及时、持续,也要花费较大的成本。大型软件公司都会有自己的安全响应队伍,专职处理安全事件,在发现漏洞后的第一时间采取措施,以保护客户的利益不被侵害。修复漏洞安全响应队伍和开发队伍协商决定解决方案,并确定响应工作的时间表。
在软件开发的过程中,即使在设计、代码编写和测试过程中考虑了安全因素,最终的软件产品仍可能存在漏洞。漏洞一般在用户使用的过程中被发现,此时,迅速确认、响应、修复漏洞是非常重要的。
由于软件的维护是一个长期的过程,因此,软件的维护和跟踪要及时、持续,也要花费较大的成本。大型软件公司都会有自己的安全响应队伍,专职处理安全事件,在发现漏洞后的第一时间采取措施,以保护客户的利益不被侵害。
一般来说,正常的漏洞响应可以大致分为以下4个阶段。
(1)发现漏洞通知厂商
在该阶段,漏洞首先由用户报告给厂商所设置的安全响应中心,响应中心经过初步的鉴定,如果确信是一个漏洞,则安全响应队伍向漏洞上报者确认已经收到漏洞报告。
(2)确认漏洞和风险评估(www.xing528.com)
安全响应队伍会联系上报者和相关产品的开发部门,以获得更多的技术细节,有时甚至会将上报者和开发团队召集在一起进行讨论。当漏洞被成功重现后,为漏洞确定一个威胁等级。
(3)修复漏洞
安全响应队伍和开发队伍协商决定解决方案,并确定响应工作的时间表。开发部门开始修复漏洞,补丁完成后,进行严格的测试。
(4)发布补丁及安全简报,对外公布安全补丁
通知所有用户修补该漏洞,在网站上发布安全简报。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
