sidebar_position | title |
---|---|
9 |
安全制度 |
Tongsuo 目前使用蚂蚁集团提供的漏洞收集渠道来接受第三方漏洞的反馈。可以通过:https://security.alipay.com 进行安全漏洞的提交。
Tongsuo 根据漏洞的严重程度和影响范围定义如下几个漏洞等级:
- 高危漏洞:该等级的漏洞一般较容易被利用,并造成严重损失。例如内存内容泄露、用户机密数据泄露、远程拒绝服务等。
- 中危漏洞:该等级的漏洞相比高危漏洞具有相对较低的风险,并且不是很容易的被利用。
- 低危漏洞:该等级的漏洞的风险相对较小,一般不会对生产环境引起重大危害。
对于高危和中危漏洞,Tongsuo 会优先向特定的群体披露漏洞细节和修复方案,在一段时间后(可能是数天或者数周),再对Tongsuo进行公开修复并公告漏洞详情。这样做是为了防止严重的漏洞对关键互联网应用产生重大影响。上述特定的群体包括:
- 默认集成了 Tongsuo 的重要操作系统发行版
- Tongsuo的 重要商业用户
- 其他 Tongsuo 技术委员会认为有必要通知的个人或组织