安全漏洞是在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷，可以使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)。

如果您在浪潮云數(shù)據(jù)中心產(chǎn)品中發(fā)現(xiàn)安全漏洞，請立即向我們報告。

安全研究人員、行業(yè)組織、供應(yīng)商和其他無法獲得技術(shù)支持的用戶應(yīng)通過電子郵件直接向浪潮PSIRT發(fā)送漏洞報告。請使用我們的PGP公鑰（key ID0x0DA9C913)加密郵件內(nèi)容，并發(fā)送郵件至security@inspur.com，郵件內(nèi)容應(yīng)盡量詳細(xì)，包括：

(1)受影響的產(chǎn)品及其版本；

(2)漏洞類型，可選擇使用CWE等分類法;

(3)漏洞等級和影響;

(4)潛在漏洞的發(fā)現(xiàn)方式，請盡量詳細(xì)填寫，包括流程/步驟/截圖/重現(xiàn)方法等；

(5)潛在漏洞的利用證明及POC；

(6)可能的漏洞披露計劃。

浪潮PSIRT依據(jù)漏洞響應(yīng)流程對上報的潛在安全漏洞進(jìn)行處理，有關(guān)浪潮如何解決安全問題的更多信息，請參閱：漏洞響應(yīng)流程

漏洞接收：主動監(jiān)控和接收漏洞上報者上報的潛在安全漏洞和問題，浪潮PSIRT會在收到漏洞的7個自然日內(nèi)對漏洞上報者給予答復(fù)。

漏洞確認(rèn)：驗證潛在安全漏洞和問題是否影響公司產(chǎn)品安全，并評估風(fēng)險，確定漏洞等級。 浪潮PSIRT使用通用漏洞評分系統(tǒng)（CVSS）對漏洞評分，CVSS 3.1 用戶指南。

漏洞修復(fù)：制定漏洞風(fēng)險緩解和修復(fù)方案，驗證漏洞修復(fù)效果，關(guān)閉漏洞，給出產(chǎn)品升級包或補丁。

漏洞披露：在規(guī)避和補丁可用（或發(fā)布新版本）的情況下，披露漏洞信息。

漏洞反饋：漏洞披露后，監(jiān)控補救措施的有效性，收集客戶反饋的問題和建議，必要時對補丁包/升級包更新。

在整個漏洞處理的過程中，浪潮PSIRT會嚴(yán)格控制漏洞信息的范圍，將之限制在僅處理漏洞的相關(guān)人員之間傳遞；同時也要求漏洞上報者對此漏洞進(jìn)行保密，直到浪潮公司對外公開SA。