英特尔重视产品安全性
产品安全性承诺
我们产品的安全性是我们最重要的工作重心之一。我们将安全性融入到我们的产品之中,并且鼓励我们的客户及技术行业的其他人也将安全性融入到他们的产品之中。我们致力于设计、制造和销售世界上最安全的技术产品,并且将持续不断地创新并增强我们产品的安全性功能。
这份文档旨在提供有关我们的产品安全性政策的更多详细信息,包括我们如何响应漏洞以及与行业中的其他人协作。
安全性乃重中之重
我们产品的安全性是持续不断的工作重心,不是一次性的事件。安全性以我们的《安全性开发生命周期》为基础,其中阐明安全性从一开始就融入我们的产品之中。发布产品之后,我们继续积极支持产品并解决漏洞。除此之外,我们承诺与行业协作,共享硬件和软件创新,促进安全性方面的行业级别发展。我们还承诺资助旨在预防和缓解潜在安全性威胁的学术和独立研究。
产品安全性响应流程
在我们发布产品之前,我们会努力找出并缓解我们产品的安全性漏洞,但是漏洞在所难免。我们的产品非常复杂,并且我们并不总是能预测到我们产品的种种用途或者第三方企图削弱其完整性的熟练程度。因此,我们会在发布产品之后继续测试和评估以识别漏洞。有时,在我们能够找出漏洞之前,第三方会识别漏洞并告诉我们。无论来源如何,一旦我们得知漏洞存在,我们的重心就是尽快了解并缓解该漏洞。有时,我们可以自己缓解漏洞;有时我们与我们的客户、合作伙伴及行业中的其他人协作缓解漏洞。
英特尔的产品安全性响应将针对不同的情况具体定制,但通常分五个阶段进行:(1) 初始评估,包括验证漏洞并识别其范围;(2) 架构评估,包括识别缓解选项;(3) 缓解措施开发和保证;(4) 缓解措施部署;(5) 公开披露。
安全性漏洞的协同披露
英特尔以及几乎整个技术行业都遵循称为《协同披露》的披露惯例,根据它的指导原则,网络安全性漏洞通常在部署缓解措施之后披露。(请参阅协同漏洞披露的 CERT® 指南。)《协同披露》可保护技术用户,因为如果在部署缓解措施之前公开披露漏洞,网络犯罪分子就可能会有利用漏洞的可乘之机。
根据《协同披露》指导原则,一般做法是最初只向需要其伸出援手来缓解漏洞的人员披露漏洞相关信息。将漏洞披露给其他人可能会提高泄露信息的风险,使坏人有利用漏洞的可乘之机。在部署缓解措施之前,英特尔一般不会将漏洞的相关信息披露给大范围群体。但是,根据情况,当漏洞肆虐时,或当公众知道漏洞或坏人利用漏洞的风险提高并且有理由预期英特尔披露可缓解英特尔客户和最终用户的风险时,英特尔可能会披露漏洞的相关信息。1
与我们的客户及其他第三方协作
根据我们产品的性质,我们通常与我们的客户及其他第三方(包括硬件、软件和服务供应商以及用户)开发并部署缓解措施。高效的缓解措施需要所有相关方团结一心,精诚合作。在我们了解并缓解漏洞时,我们将以高度机密的方式管理该漏洞的相关信息;我们只会将相关信息分发给需要知道以帮助我们缓解问题的人员,并且仅限于使他们能够提供帮助所需的范围。我们要求知道漏洞的第三方严格保密,直到部署了缓解措施为止。
虽然安全性漏洞形式各异,但是英特尔和其他技术公司已识别、缓解然后披露了成千上万个漏洞。更新和补丁是现代技术产品的常规部分,领先的操作系统供应商也会定期发布更新和补丁。作为安全性最佳实践,每个技术用户应在有更新可用时尽快安装,并时刻保持警惕,不断检测入侵和利用情况。
产品和性能信息
英特尔有关披露安全相关问题的政策来源于行业最佳时间,其中包括多方漏洞协同准则和时间、FIRST.org(意外事件响应与安全团队论坛)的披露内容以及协同漏洞披露的 CERT® 指南。这些指南统称为“协同披露”,该术语广泛用于安全社区以及此政策当中。有时,英特尔和其他方也会使用“责任披露”作为“协同披露”的同义词。