协调漏洞披露
为公众(例如安全研究人员、客户)提供向GE披露漏洞的途径,并降低不负责任的披露行为(例如安全研究人员直接向媒体报道)发生的可能性。提供合法的漏洞披露途径,是GE与网络安全社区之间至关重要的纽带。
如需向GE网络安全团队提交GE产品中的漏洞,请发送电子邮件至 GEV.PSIRT@gevernova.com,并在发送前使用以下 GPG密钥 对报告进行加密。我们积极鼓励您在公开披露漏洞之前先将其发送给我们进行修复,以便我们能够妥善解决任何漏洞。
报告漏洞时,我们需要您提供以下信息:
- 请用英文提交您的报告。
- 请提供受影响产品的具体信息,包括型号或序列号、地理位置、软件版本以及获取产品的途径。
- 如果您已开发出利用该漏洞的概念验证代码,请提供代码和漏洞利用说明。
- 如果您知悉任何现场设备遭到此漏洞利用的事件(例如,GE的一位客户直接受到此漏洞的影响)
- 您提供的关于如何发现漏洞、对漏洞影响或 CVSS 评分的看法以及潜在的修复方案等信息,将有助于我们更快地对漏洞进行分类。
- 请提供您本人或您所代表的公司/组织的相关信息,或者如果您希望保持匿名,也请说明。
- 如果您在我们的内部分诊过程中有偏好的联系方式,请告知我们。
- 请说明您打算向我们披露该漏洞,还是打算向公众披露该漏洞。
作为回应,您可以期待我们做出以下回应:
- 我们将在一个工作日内确认收到您的报告。
- 在对漏洞进行初步评估期间,GE 网络安全团队可能会联系您,以执行以下其中一项操作:
- 请索取补充您初始报告的信息
- 沟通我们预期的分诊流程和时间表
- 通知您,该报告超出范围或由于其他原因将不予分类处理。
- 完成我们自身的漏洞评估后,我们将公布我们的评估过程和调查结果。
- 如果记者提出要求,且最终导致信息公开,我们将在最终报告中列出记者的姓名。