安全应急响应
漏洞处理流程

晶科储能鼓励安全研究人员、行业组织、客户和供应商将识别的与晶科储能产品相关的疑似漏洞报告给晶科储能PSIRT团队,晶科储能PSIRT团队将遵循ISO/IEC 30111、ISO/IEC 29147等行业标准进行处理。

安全漏洞响应流程包括五个阶段:

1、漏洞感知:接收各相关方提交的安全漏洞;
晶科储能鼓励全球安全从业人员、业界组织提交晶科储能产品的安全漏洞。同时,晶科储能PSIRT主动获取业界发布的威胁情报,甄别有效的漏洞信息。

2、漏洞验证和评估:确认疑似漏洞的有效性和影响范围;
PSIRT对安全漏洞进行分析、验证,遵循CVSS标准对产品的安全漏洞进行分级和打分,相关安全专家进行评估结果审核确认,以确定最终评估结果。

3、漏洞处置:确认产品受漏洞影响后,提供缓解措施和解决方案。
对于确认存在的安全漏洞,晶科储能PSIRT联合产品团队一起制定、开发并提供漏洞修复方案(包括缓解措施、解决方案),有效应对和解决安全风险,保障客户数据和系统的安全与稳定。

4、漏洞披露:与漏洞报告方和波及客户保持沟通、协助客户修复漏洞,完成漏洞协同披露。
在整个漏洞响应的过程中,晶科储能与客户及相关方保持沟通、同步处理进展,协助客户尽早修复漏洞,完成漏洞协同披露。

5、闭环改进:从管理、技术等维度总结改进,提升漏洞处理效率和质量。
对于安全漏洞的发生,晶科储能都将对其进行管理、技术根因分析,总结经验教训,持续优化漏洞响应流程、提升产品自身安全性,向客户交付安全可信的产品和服务。