Bao cáo đánh giá bảo mật website năm 2024
Amazon Web Services rất coi trọng vấn đề bảo mật và điều tra tất cả các lỗ hổng được báo cáo. Trang web này mô tả phương pháp thực hành của chúng tôi để giải quyết lỗ hổng tiềm ẩn trong mọi khía cạnh của các dịch vụ đám mây. Show Báo cáo lỗ hổng bảo mật đáng ngờ
Để chúng tôi có thể phản hồi báo cáo của bạn một cách hiệu quả hơn, vui lòng cung cấp bất kỳ tài liệu hỗ trợ nào (mã chứng minh tính khả thi, dữ liệu xuất của công cụ, v.v.) sẽ giúp chúng tôi hiểu bản chất và mức độ nghiêm trọng của lỗ hổng bảo mật đó. AWS bảo mật thông tin bạn chia sẻ trong quy trình này trong nội bộ AWS. AWS sẽ chỉ chia sẻ thông tin này với bên thứ ba nếu lỗ hổng bảo mật mà bạn báo cáo được phát hiện là ảnh hưởng đến sản phẩm của bên thứ ba. Trong trường hợp đó, chúng tôi sẽ chia sẻ thông tin này với tác giả hoặc nhà sản xuất của sản phẩm bên thứ ba. Trong các trường hợp khác, AWS sẽ chỉ chia sẻ thông tin này khi bạn cho phép. AWS sẽ xem xét báo cáo bạn gửi và gán cho báo cáo một số theo dõi. Sau đó, chúng tôi sẽ trả lời bạn để xác nhận rằng chúng tôi đã nhận được báo cáo và nêu rõ các bước tiếp theo trong quy trình. Đánh giá SLA của AWSAWS cam kết phản hồi và thông báo cho bạn về tiến trình chúng tôi điều tra và/hoặc giảm thiểu mối quan ngại về bảo mật mà bạn báo cáo. Bạn sẽ nhận được một phản hồi (không phải loại gửi tự động) trong vòng 24 giờ kể từ khi liên hệ với chúng tôi lần đầu tiên, trong đó xác nhận rằng chúng tôi đã nhận được báo cáo về lỗ hổng bảo mật mà bạn gửi. Sau đó, cứ năm ngày làm việc tại Hoa Kỳ (tối thiểu), AWS sẽ gửi cho bạn thông tin cập nhật tiến độ. Thông báo công khaiNếu có thể, AWS sẽ phối hợp với bạn để thông báo công khai về mọi lỗ hổng bảo mật đã xác thực. Khi có thể, chúng tôi cũng muốn đồng thời đăng tải thông báo công khai tương ứng của mình. Để bảo vệ khách hàng, AWS yêu cầu bạn không đăng hoặc chia sẻ bất kỳ thông tin nào về lỗ hổng bảo mật tiềm ẩn trong bất kỳ môi trường công cộng nào cho đến khi chúng tôi nghiên cứu, phản hồi và xử lý lỗ hổng bảo mật mà bạn báo cáo cũng như thông báo cho khách hàng nếu cần. Ngoài ra, chúng tôi trân trọng yêu cầu bạn không đăng hoặc chia sẻ bất kỳ dữ liệu nào thuộc về khách hàng của chúng tôi. Việc xử lý một lỗ hổng bảo mật được báo cáo hợp lệ sẽ mất thời gian và tiến trình còn phụ thuộc vào mức độ nghiêm trọng của lỗ hổng bảo mật cũng như hệ thống bị ảnh hưởng. AWS thông báo công khai dưới dạng Bản tin bảo mật đăng trên trang web Bảo mật của AWS. Các cá nhân, công ty và nhóm bảo mật thường đăng lời khuyên của họ trên trang web của riêng họ cũng như các diễn đàn khác. Khi có liên quan, chúng tôi sẽ đưa đường liên kết đến các tài nguyên của bên thứ ba đó vào Bản tin bảo mật của AWS. Cảng an toànAWS cho rằng nghiên cứu bảo mật được thực hiện một cách thiện chí cần được cung cấp cảng an toàn. Chúng tôi đã thông qua Điều khoản cốt lõi của Disclose.io, tuân theo các điều kiện bên dưới, và chúng tôi mong muốn được hợp tác với các nhà nghiên cứu bảo mật có chung niềm đam mê bảo vệ khách hàng AWS. Phạm viCác hoạt động sau nằm ngoài phạm vi của Chương trình báo cáo lỗ hổng bảo mật AWS. Nếu thực hiện bất kỳ hoạt động nào dưới đây, bạn sẽ bị loại khỏi chương trình vĩnh viễn.
Chính sách tiết lộSau khi bạn gửi báo cáo, AWS sẽ nỗ lực để xác thực lỗ hổng bảo mật mà bạn báo cáo. Nếu cần thêm thông tin để xác thực hoặc tạo lại vấn đề, AWS sẽ làm việc với bạn. Khi điều tra ban đầu hoàn tất, chúng tôi sẽ gửi cho bạn kết quả cùng với kế hoạch giải quyết và thảo luận về việc công bố công khai. Một số điều cần lưu ý về quy trình AWS:
Bạn có câu hỏi? Hãy kết nối với đại diện kinh doanh AWS AWS sẽ ngừng hỗ trợ cho Internet Explorer vào 07/31/2022. Các trình duyệt được hỗ trợ là Chrome, Firefox, Edge và Safari. Tìm hiểu thêm » |