安全漏洞是在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷，可以使攻擊者能夠在未授權的情況下訪問或破壞系統(tǒng)。

如果您在浪潮云數據中心產品中發(fā)現(xiàn)安全漏洞，請立即向我們報告。

安全研究人員、行業(yè)組織、供應商和其他無法獲得技術支持的用戶應通過電子郵件直接向浪潮PSIRT發(fā)送漏洞報告。請使用我們的PGP公鑰（key ID0x0DA9C913)加密郵件內容，并發(fā)送郵件至security@inspur.com，郵件內容應盡量詳細，包括：

(1)受影響的產品及其版本；

(2)漏洞類型，可選擇使用CWE等分類法;

(3)漏洞等級和影響;

(4)潛在漏洞的發(fā)現(xiàn)方式，請盡量詳細填寫，包括流程/步驟/截圖/重現(xiàn)方法等；

(5)潛在漏洞的利用證明及POC；

(6)可能的漏洞披露計劃。

浪潮PSIRT依據漏洞響應流程對上報的潛在安全漏洞進行處理，有關浪潮如何解決安全問題的更多信息，請參閱：漏洞響應流程

漏洞接收：主動監(jiān)控和接收漏洞上報者上報的潛在安全漏洞和問題，浪潮PSIRT會在收到漏洞的7個自然日內對漏洞上報者給予答復。

漏洞確認：驗證潛在安全漏洞和問題是否影響公司產品安全，并評估風險，確定漏洞等級。 浪潮PSIRT使用通用漏洞評分系統(tǒng)（CVSS）對漏洞評分，CVSS 3.1 用戶指南。

漏洞修復：制定漏洞風險緩解和修復方案，驗證漏洞修復效果，關閉漏洞，給出產品升級包或補丁。

漏洞披露：在規(guī)避和補丁可用（或發(fā)布新版本）的情況下，披露漏洞信息。

漏洞反饋：漏洞披露后，監(jiān)控補救措施的有效性，收集客戶反饋的問題和建議，必要時對補丁包/升級包更新。

在整個漏洞處理的過程中，浪潮PSIRT會嚴格控制漏洞信息的范圍，將之限制在僅處理漏洞的相關人員之間傳遞；同時也要求漏洞上報者對此漏洞進行保密，直到浪潮公司對外公開SA。