腾讯玄武实验室漏洞披露原则

本文介绍腾讯玄武实验室披露安全漏洞的过程和原则。

所有软件、平台和设备都是我们的可能研究目标。腾讯玄武实验室经常会在这些研究目标中发现缺陷和安全漏洞,并为它们分配一个X-Lab ID。我们会创建一个安全公告条目,但不会立刻披露漏洞细节。

为了让世界变得更安全,我们会积极地与受影响厂商合作修复这些安全漏洞。并在厂商发布补丁后披露更多关于漏洞的信息。另外,无论厂商是否修复漏洞,我们都可能在漏洞首次报告给厂商之日起90天后公开漏洞细节。

玄武实验室会尽最大努力通过公开方式联系受影响的厂商。我们也和 MITRE 公司、CERT 协调中心(CERT/CC)、国家信息安全漏洞共享平台(CNVD)和中国国家信息安全漏洞库(CNNVD)等密切合作,确保通知到受影响的厂商,并为这些安全漏洞分配漏洞编号。

在公开披露之前,我们可能会将细节提供给腾讯的安全产品团队,以帮助建立主动防护措施,保护我们的用户。

安全漏洞会披露在我们网站的安全公告栏目内[ http://xlab.tencent.com/cn/category/advisories ]。