Đảm bảo bảo mật kỹ thuật
Nhóm phản hồi sự cố bảo mật sản phẩm Meari (MEARI PSIRT) chịu trách nhiệm tiếp nhận, xử lý và công khai tiết lộ các lỗ hổng bảo mật liên quan đến sản phẩm và giải pháp của Meari. Đây là kênh duy nhất của công ty để tiết lộ thông tin lỗ hổng cho sản phẩm và giải pháp của mình. MEARI PSIRT đã triển khai quy trình quản lý lỗ hổng toàn diện tuân thủ các tiêu chuẩn ISO27001, ISO27701, ISO27017 và ISO27018 và tuân theo các phương pháp tốt nhất trong ngành để giải quyết kịp thời các lỗ hổng đã được xác định.

Bản tin bảo mật

Lỗ hổng thực thi mã từ xa Apache Log4j2 (CVE-2021-44228/CVE-2021-45046)

Xem báo cáo
Công nghệ bảo mật
Thuật toán mã hóa AES: Nó hoạt động như thế nào?2024-04-30
Tiêu chuẩn mã hóa nâng cao (AES), còn được gọi là thuật toán Rijndael, hiện là thuật toán mã hóa đối xứng hàng đầu quốc tế. AES thuộc danh mục thuật toán mã hóa khối trong các thuật toán mã hóa đối xứng.
Tìm hiểu thêm
Thuật toán mã hóa đối xứng là gì?2024-03-20
Trong giai đoạn hiện đại của mật mã học, khái niệm về tính bảo mật khóa đã được giới thiệu, tạo ra một mô hình thuật toán mã hóa mới được gọi là thuật toán mã hóa đối xứng.
Tìm hiểu thêm
Báo cáo lỗ hổng
1. Gửi lỗ hổng
Chúng tôi khuyến khích người dùng, đối tác, nhà cung cấp, cơ quan bảo mật và các nhà nghiên cứu độc lập chủ động báo cáo bất kỳ rủi ro bảo mật hoặc lỗ hổng nào liên quan đến sản phẩm và giải pháp MEARI cho Meari PSIRT qua email. Nhấp vào nút "Gửi lỗ hổng" hoặc gửi thông tin lỗ hổng đến msg@meari.com.cn.
2. Chi tiết gửi email (Để tạo điều kiện thuận lợi cho việc xác minh và xác định chính xác lỗ hổng kịp thời, email nên bao gồm thông tin sau)
1.Tổ chức / Chức danh và thông tin liên lạc. 2.Mô tả rủi ro bảo mật tiềm ẩn / lỗ hổng. 3.Chi tiết kỹ thuật (ví dụ: cấu hình hệ thống, phương pháp xác định, mô tả lỗ hổng/ảnh chụp màn hình, hình ảnh mẫu đã chụp, bằng chứng khái niệm (POC), các bước để tái tạo vấn đề, v.v.). 4.Tên sản phẩm, Model và phiên bản phần mềm/firmware của rủi ro bảo mật/lỗ hổng được báo cáo. 5.Kế hoạch tiết lộ lỗ hổng có thể.
Cách chúng tôi giải quyết lỗ hổng
Meari PSIRT kiểm soát chặt chẽ phạm vi thông tin lỗ hổng, giới hạn quyền truy cập chỉ cho những người trực tiếp tham gia giải quyết vấn đề. Ngoài ra, tất cả cá nhân có quyền truy cập thông tin này được yêu cầu duy trì tính bảo mật về lỗ hổng cho đến khi nó được công khai tiết lộ.
Meari PSIRT tiết lộ các lỗ hổng bảo mật theo hai hình thức sau:
1.SA (Tư vấn bảo mật): Xuất bản thông tin liên quan đến lỗ hổng bảo mật trong sản phẩm và giải pháp của Meari, bao gồm nhưng không giới hạn ở mô tả lỗ hổng và biện pháp khắc phục. 2.SN (Thông báo bảo mật): Giải quyết các chủ đề bảo mật liên quan đến sản phẩm và giải pháp của Meari, bao gồm nhưng không giới hạn ở lỗ hổng và sự cố bảo mật.
Meari PSIRT áp dụng tiêu chuẩn CVSSv3, cung cấp điểm cơ bản và điểm thời gian cho mỗi đánh giá lỗ hổng bảo mật. Khách hàng cũng có thể tạo điểm môi trường của riêng họ dựa trên nhu cầu cụ thể. Để biết chi tiết về tiêu chuẩn CVSSv3 cụ thể, vui lòng truy cập liên kết này: https://www.first.org/cvss/specification-document
Quy trình xử lý lỗ hổng của chúng tôi
1.Tiếp nhậnTiếp nhận và thu thập báo cáo về các lỗ hổng bảo mật sản phẩm tiềm ẩn
2.Xác minhPhối hợp với các nhóm liên quan để xác minh lỗ hổng và tiến hành đánh giá rủi ro
3.Khắc phụcPhân tích nguyên nhân gốc rễ của lỗ hổng và triển khai bản sửa lỗi
4.Tiết lộChủ động tiết lộ thông tin lỗ hổng và phát hành firmware đã sửa
5.Cải tiếnTăng cường khả năng quét lỗ hổng và tích hợp chúng vào yêu cầu bảo mật sản phẩm