MindStudio漏洞机制说明
MindStudio社区非常重视社区版本的安全性,专门设置了漏洞管理专员负责处理漏洞相关的事务,同时为了构建更安全的AI全流程工具链,我们也欢迎您一起参与。
漏洞处理流程
对于每一个安全漏洞,MindStudio社区会安排人员进行跟踪和处理,漏洞处理的端到端流程如下图所示。
下面将重点解释漏洞上报、漏洞评估、漏洞披露的流程。
漏洞上报
您可以通过提交issue的方式联系MindStudio社区团队,我们将会第一时间安排安全漏洞专项人员向您联系。
为了确保安全性,请不要在issue中描述涉及安全隐私的具体信息。
上报响应
MindStudio社区会在3个工作日内确认、分析、上报安全漏洞问题,同时启动安全处理流程。
MindStudio安全团队在确认安全漏洞问题后,会对问题进行分发和跟进。
在安全漏洞问题从分类、确定、修复和发布的过程中,我们会及时更新报告。
漏洞评估
业界普遍使用CVSS(通用漏洞评分系统)标准评估漏洞的严重性,MindStudio在使用CVSS v3.1进行漏洞评估时,需要设定漏洞攻击场景,基于在该攻击场景下的实际影响进行评估。漏洞严重等级评估是指针对漏洞利用难易程度,以及利用后对机密性、完整性、可用性的影响进行评估,并生成一个评分值。
漏洞评估标准
MindStudio通过以下向量评估一个漏洞的严重等级:
攻击向量(AV):表示攻击的“远程性”以及如何利用此漏洞。
攻击复杂性(AC):讲述攻击执行的难度以及成功进行攻击需要哪些因素。
用户交互(UI):确定攻击是否需要用户参与。
所需的权限(PR):记录成功进行攻击所需的用户身份验证级别。
范围(S):确定攻击者是否可以影响具有不同权限级别的组件。
机密性(C):衡量信息泄露给非授权方后导致的影响程度。
完整性(I):衡量信息被篡改后导致的影响程度。
可用性(A):衡量用户在需要访问数据或服务时受影响的程度。
评估原则
评估漏洞的严重等级,不是评估风险。
评估时必须基于攻击场景,且保证在该场景下,攻击者成功攻击后能对系统造成机密性、完整性、可用性影响。
当安全漏洞有多个攻击场景时,应以造成最大的影响,即CVSS评分最高的攻击场景为依据。
被嵌入调用的库存在漏洞,要根据该库在产品中的使用方式,确定漏洞的攻击场景后进行评估。
安全缺陷不能被触发或不影响CIA(机密性、完整性、可用性),CVSS评分为0分。
评估步骤
评估漏洞严重等级时,可根据下述步骤进行操作:
设定可能的攻击场景,基于攻击场景评分。
确定漏洞组件(Vulnerable Component)和受影响组件(Impact Component)。
选择基础指标的值。
可利用指标(攻击向量、攻击复杂度、所需权限、用户交互、范围)根据漏洞组件选择指标值。
影响指标(机密性、完整性、可用性)要么反映对漏洞组件的影响,要么反映对受影响组件影响,以结果最严重的为准。
严重等级划分
严重等级(Severity Rating) |
CVSS评分(Score) |
漏洞修复时长 |
|---|---|---|
致命(Critical) |
9.0~10.0 |
7天 |
高(High) |
7.0~8.9 |
14天 |
中(Medium) |
4.0~6.9 |
30天 |
低(Low) |
0.1~3.9 |
30天 |
漏洞披露
安全漏洞修复后MindStudio社区会发布安全公告(SA)以及安全说明(SN),安全公告内容包括该漏洞的技术细节、类型、上报人、CVE ID 以及受到该漏洞影响的版本和修复版本等信息。 为了保护MindStudio用户的安全,在进行调查、修复和发布安全公告之前,MindStudio社区不会公开披露、讨论或确认MindStudio产品的安全问题。
附录
MindStudio安全公告(SA)
目前在维护版本,无安全漏洞
MindStudio安全说明(SN)
涉及第三方的开源组件部分漏洞说明:
CVE编号 |
三方组件名称 |
涉及MindStudio工具/插件名称 |
状态 |
说明 |
|---|---|---|---|---|
暂无 |
- |
- |
- |
- |