本文介绍腾讯玄武实验室披露安全漏洞的过程和原则。
所有软件、平台和设备都是我们的可能研究目标。腾讯玄武实验室经常会在这些研究目标中发现缺陷和安全漏洞,并为它们分配一个X-Lab ID。我们会创建一个安全公告条目,但不会立刻披露漏洞细节。
为了让世界变得更安全,我们会积极地与受影响厂商合作修复这些安全漏洞。并在厂商发布补丁后披露更多关于漏洞的信息。另外,无论厂商是否修复漏洞,我们都可能在漏洞首次报告给厂商之日起90天后公开漏洞细节。
玄武实验室会尽最大努力通过公开方式联系受影响的厂商。我们也和MITRE公司、CERT 协调中心(CERT/CC)和中国国家漏洞库(CNVD)等密切合作,确保通知到受影响的厂商,并为这些安全漏洞分配漏洞编号。
在公开披露之前,我们可能会将细节提供给腾讯的安全产品团队,以帮助建立主动防护措施,保护我们的用户。
安全漏洞会披露在我们网站的安全公告栏目内[ http://xlab.tencent.com/cn/advisories ]。