Opera致力于维护您的安全,我们在履行这一承诺方面有着长期而可靠的记录。下面,我们将向您介绍我们如何在发现安全漏洞时处理这些漏洞,以及我们采取哪些步骤来确保您和其他使用我们产品的人在线时的安全。
我们如何处理安全报告
安全报告始终作为最高优先事项处理。收到安全报告后,会尽快评估潜在威胁。当报告的问题被确定为安全问题时,会联系记者。按照行业惯例,披露日期与记者达成一致。
根据具体情况商定披露日期。报告和披露之间的延迟允许准备、测试和检查任何其他相关问题的修复。同时,它确保用户不会因为没有任何升级手段而留下公开的漏洞。按照行业惯例,将披露日期告知记者(最多90天).
在必要的时候和地点,记者可能会被问及有关如何再现该问题的更多信息。偶尔,关于可能的安全问题的报告被发现不是关于可利用的安全问题。在适当的情况下,我们会联系记者,解释为什么我们认为这不是一个安全问题。
请注意:没有明确描述复制问题和概念证明的步骤的报告很可能会因我方无效而关闭。
如何披露漏洞
为了保护我们的用户,我们鼓励负责任的披露,即在我们有机会解决问题之前,不向任何第三方披露漏洞细节。我们的修复将在变更日志中提到,我们通常会链接到安全咨询。在某些情况下,我们可能会选择在发布公告之前等待,例如,当其他供应商仍然易受攻击时。公告包含问题的详细信息、我们的问题解决方案,在大多数情况下,还包含升级到最新官方版本的建议。它通常不会解释如何利用问题,但它将包含足够的信息来识别特定问题。如果记者进行了负责任的披露,我们将在咨询中予以赞扬。
Opera的安全小组如何运作
除了处理收到的报告外,Opera的安全小组还积极寻找潜在的安全问题。当考虑或实现新技术时,我们的安全小组会评估这些技术的可能安全影响,并且规范和实现可能会相应更改。
在实现和发布之后,这项工作仍在继续。如果发现问题,就会进行修复,并在新的Opera版本中发布修复。在适当的情况下,版本更改日志将提及安全修复,并可能发布公告。
如何评估安全问题
当安全机构报告问题时,通常会根据攻击该问题的容易程度和成功攻击的潜在影响进行严重性评级。示例如下:
- 阻止应用程序重新启动的崩溃。
- 使一个网站看起来像另一个网站的可能性。
- 能够执行任意代码。
- 能够读取用户系统上的文件或其他站点的登录信息。
随着问题的调查,可能会发现更多关于剥削严重性或易受剥削性的细节。在某些情况下,我们可能会发现记者对该问题的评级过高或过低。这可能意味着我们根据自己对问题的了解给出了更新的评级。在进一步调查后,也可能会修改该评级。
如果Opera不是唯一受影响的应用程序怎么办?
有时,我们发现问题会影响其他供应商发布的应用程序。在这些情况下,如果原始报告人没有联系其他供应商,我们可能会联系受影响的供应商。
在这些情况下,披露日期可能会延迟,以便其他供应商有时间发布自己的修补程序。Web安全依赖于供应商的合作,以提高对所有用户的保护。在其他供应商有机会修复其应用程序之前公开披露漏洞的详细信息将使其用户易受攻击。供应商和记者通常会在新的约定日期发布安全建议。如果补丁版本早于此日期发布,其更改日志可能不包含漏洞的详细信息,但应包含一条注释,说明这是一次安全升级,稍后将添加更多详细信息。
更多信息
有关Opera如何处理安全问题的更多信息,请参阅我们的Opera Security博客。可以通过Opera安全地报告安全问题漏洞跟踪系统.
工具书类
