diff --git "a/security_statement/MindStudio\346\274\217\346\264\236\346\234\272\345\210\266\350\257\264\346\230\216.md" "b/security_statement/MindStudio\346\274\217\346\264\236\346\234\272\345\210\266\350\257\264\346\230\216.md" new file mode 100644 index 0000000000000000000000000000000000000000..377968fed878411182e6ddf992455d3ad40f2051 --- /dev/null +++ "b/security_statement/MindStudio\346\274\217\346\264\236\346\234\272\345\210\266\350\257\264\346\230\216.md" @@ -0,0 +1,85 @@ +# MindStudio 漏洞机制说明 + +MindStudio 社区非常重视社区版本的安全性,专门设置了漏洞管理专员负责处理漏洞相关的事务,同时为了构建更安全的AI全流程工具链,我们也欢迎您一起参与。 + +## 漏洞处理流程 + +对于每一个安全漏洞,MindStudio 社区会安排人员进行跟踪和处理,漏洞处理的端到端流程如下图所示。 + +![漏洞处理流程](.\images\漏洞处理流程.png) + +下面将重点解释漏洞上报、漏洞评估、漏洞披露的流程。 + +## 漏洞上报 + +您可以通过电子邮箱 mindstudio@huawei.com 联系MindStudio 社区团队,但为了确保安全性,请您不要在邮件中描述涉及安全隐私的具体信息,我们将会第一时间安排安全漏洞专项人员向您联系。 + +## 安全漏洞响应 + +- MindStudio 社区会在3个工作日内确认并分析上报的安全漏洞问题,并同时启动安全处理流程。 +- MindStudio 安全团队在确认安全漏洞问题后会对问题进行分发和跟进。 +- 在安全漏洞问题从分类、确定到修复和发布的过程中,我们会通过邮件及时更新报告。 + +## 漏洞严重性评估 + +业界普遍使用 CVSS 标准评估漏洞的严重性,MindStudio 在使用 CVSS v3.1 进行漏洞评估时,需要设定漏洞攻击场景,基于在该攻击场景下的实际影响进行评估。漏洞严重等级评估是指针对漏洞利用难易程度,以及利用后对机密性、完整性、可用性的影响进行评估,并生成一个评分值。 + +## 漏洞严重等级评估标准 + +MindStudio 社区采用 CVSS v3.1 对漏洞进行评估,CVSS v3.1 通过对以下向量来评估一个漏洞的影响: + +- 攻击向量(AV)-表示攻击的“远程性”以及如何利用此漏洞。 +- 攻击复杂性(AC)-讲述攻击执行的难度以及成功进行攻击需要哪些因素。 +- 用户交互(UI)-确定攻击是否需要用户参与。 +- 所需的权限(PR)-记录成功进行攻击所需的用户身份验证级别。 +- 范围(S)-确定攻击者是否可以影响具有不同权限级别的组件。 +- 机密性(C)-衡量信息泄露给非授权方后导致的影响程度。 +- 完整性(I)-衡量信息被篡改后导致的影响程度。 +- 可用性(A)-衡量用户在需要访问数据或服务时受影响的程度。 + +## 评估原则 + +- 评估漏洞的严重等级,不是评估风险。 +- 评估时必须基于攻击场景,且保证在该场景下,攻击者成功攻击后能对系统造成机密性、完整性、可用性影响。 +- 当安全漏洞有多个攻击场景时,应以造成最大的影响,即 CVSS 评分最高的攻击场景为依据。 +- 被嵌入调用的库存在漏洞,要根据该库在产品中的使用方式,确定漏洞的攻击场景后进行评估。 +- 安全缺陷不能被触发或不影响 CIA(机密性/完整性/可用性),CVSS 评分为 0 分。 + +## 评估步骤 + +对漏洞进行评估时,可根据下述步骤进行操作: + +1. 设定可能的攻击场景,基于攻击场景评分; +2. 确定漏洞组件(Vulnerable Component)和受影响组件(Impact Component); +3. 选择基础指标的值: + +- 可利用指标(攻击向量/攻击复杂度/所需权限/用户交互/范围)根据漏洞组件选择指标值。 +- 影响指标(机密性/完整性/可用性)要么反映对漏洞组件的影响,要么反映对受影响组件影响,以结果最严重的为准。 + +## 严重等级划分 + +| **严重等级(Severity Rating)** | **CVSS评分(Score)** | **漏洞修复时长** | +| ------------------------------- | --------------------- | ---------------- | +| 致命(Critical) | 9.0-10.0 | 7天 | +| 高(High) | 7.0-8.9 | 14天 | +| 中(Medium) | 4.0-6.9 | 30天 | +| 低(Low) | 0.1-3.9 | 30天 | + + + +## 漏洞披露 + +为了保护 MindStudio 用户的安全,在进行调查、修复和发布安全公告之前, MindStudio 社区不会公开披露、讨论或确认 MindStudio 产品的安全问题。安全漏洞修复后 MindStudio 社区会发布安全公告 (SA)以及安全说明(SN) ,安全公告内容包括该漏洞的技术细节、类型、上报人、CVE ID 以及受到该漏洞影响的版本和修复版本等信息。 + +## MindStudio 安全公告(SA) + +目前在维护版本,无安全漏洞 + +## MindStudio 安全说明(SN) + +涉及第三方的开源组件部分漏洞说明: + +| **CVE编号** | **三方组件名称** | **涉及MindStudio工具/插件名称** | **状态** | **说明** | +| ------- | ------------ | --------------------------- | ---- | ---- | +| | | | | | + diff --git "a/security_statement/images/\346\274\217\346\264\236\345\244\204\347\220\206\346\265\201\347\250\213.png" "b/security_statement/images/\346\274\217\346\264\236\345\244\204\347\220\206\346\265\201\347\250\213.png" new file mode 100644 index 0000000000000000000000000000000000000000..abd5ebd3e6a119415e9e142689b241081394c8da Binary files /dev/null and "b/security_statement/images/\346\274\217\346\264\236\345\244\204\347\220\206\346\265\201\347\250\213.png" differ