الإبلاغ عن الثغرات الأمنية
الإبلاغ عن الثغرات الأمنية المشتبه فيها
- Amazon Web Services (AWS): للإبلاغ عن ثغرة أو مشكلة أمنية مع خدمات AWS السحابية أو المشاريع مفتوحة المصدر، تفضل بزيارة برنامج الكشف عن الثغرات الأمنية (Vulnerability Disclosure Program) على HackerOne. لتقديم الطلبات خارج نطاق/منصة H1، أو للإجابة على أي أسئلة، اتصل بـ aws-security@amazon.com (مفتاح PGP).
- Amazon: قم بإخطار أمن Retail بوجود ثغرة أمنية أو مشكلة أمنية تتعلق بخدمات أو منتجات Amazon Retail.
- اختبار الاختراق: نرحب بعملاء AWS لإجراء تقييمات أمنية أو اختبارات اختراق للبنية التحتية لـ AWS دون موافقة مسبقة للخدمات المدرجة. للحصول على إرشادات إضافية، راجع سياسة اختبار الاختراق.
- إساءة استخدام AWS: إذا كنت تشك في استخدام موارد AWS (مثل مثيل EC2 أو حاوية S3) لنشاط مريب، فيرجى إكمال نموذج إساءة استخدام AWS أو الاتصال بـ trustandsafety@support.aws.com.
ولكي يتسنى لنا الاستجابة لإبلاغك بصورة أكثر فعالية، يُرجى تقديم أي مواد داعمة (مثل، كود إثبات المفهوم، ومخرجات الأداة، وما إلى ذلك) والتي قد تساعد في فهم طبيعة الثغرة الأمنية ومدى شدتها.
Amazon CNA Scope
ستقوم Amazon CNA بإصدار CVEs التي تدعم العملاء في معالجة الثغرات الأمنية الصالحة ضمن الفئات التالية:
- خدمات AWS التي تقدمها AWS ومتاحة للجمهور للعملاء. (مثل Amazon EC2 وAmazon RDS).
- خدمات Amazon المقدمة من Amazon والمتاحة للجمهور للعملاء. (على سبيل المثال، خدمة واجهة برمجة التطبيقات للبائع من Amazon.com).
- برنامج مفتوح المصدر داخل مؤسسة GitHub التي تديرها Amazon أو AWS.
- برنامج العميل المنشور بواسطة Amazon أو AWS والمتاح للتنزيل من موقع ويب أو موقع تنزيل مملوك ومدار من قبلنا (مثل Amazon Appstore SDK وAmazon Input SDK وتطبيق Amazon Kindle وتطبيق Amazon MShop وعميل Amazon WorkSpaces).
- الأجهزة المصنعة من قبل Amazon أو AWS والمتاحة للعملاء للشراء والاستخدام (مثل Amazon Fire TV وأجهزة Amazon Echo وAmazon Kindle وAWS Outpost).
بالإضافة إلى ذلك، يجب تلبية جميع المتطلبات أدناه:
- التأثير على العميل: يجب أن تكون المشكلة موجودة داخل فئة مملوكة لشركة Amazon أو AWS تكون متاحة للجمهور للعملاء؛ و
- وكالة العملاء: تتطلب معالجة مشكلات المنتجات المدعومة أو منتجات EOL/EOS اتخاذ إجراءات من العميل، بما في ذلك اتخاذ قرار قائم على المخاطر بشأن التعامل مع المعالجة (أو يحتاج العملاء إلى تقييم التأثير المحتمل) أو عندما تصبح ثغرة أمنية صالحة عامة (أو لديها القدرة على أن تصبح عامة)؛ و
- درجة CVSS: 4.0 (متوسطة) أو أعلى.
تتضمن مشكلات الخدمات أو البرامج أو الأجهزة التي لا تعتبر ثغرة أمنية على سبيل المثال لا الحصر:
- تكوين غير افتراضي أو تغييرات تم إجراؤها باستخدام بيانات اعتماد صالحة تم اعتمادها بشكل صحيح
- استهداف أصول Amazon أو عملاء AWS (أو المواقع غير التابعة لـ AWS المستضافة على البنية التحتية لـ AWS)
- أي ثغرة أمنية تم الحصول عليها من خلال اختراق حسابات العملاء أو الموظفين في Amazon أو AWS
- أي هجوم لرفض الخدمة (DoS) ضد منتجات Amazon أو AWS (أو عملاء Amazon أو AWS)
- الهجمات المادية ضد موظفي Amazon أو AWS والمكاتب ومراكز البيانات
- الهندسة الاجتماعية لموظفي Amazon أو AWS أو المقاولين أو البائعين أو مزودي الخدمة
- نشر البرامج الضارة، أو نقلها، أو تحميلها، أو إرسال روابط لها، أو إرسالها عن علم
- تعقب الثغرات الأمنية التي ترسل رسائل مجمعة غير مرغوب فيها (رسائل غير مرغوب فيها)
الإبلاغ عن نقاط الضعف الأمنية في AWS
تلتزم AWS بأن تكون سريعة الاستجابة وبأن تبلغك باستمرار بتقدمنا. ستتلقى ردًا غير تلقائي يؤكد استلام تقريرك الأولي في غضون 24 ساعة، والتحديثات في الوقت المناسب، وعمليات تسجيل الوصول الشهرية طوال فترة المشاركة. يمكنك طلب التحديثات في أي وقت، ونرحب بالحوار الذي يوضح أي قلق أو تنسيق الإفصاح.
الأنشطة التي تعتبر غير ثغرة أمنية أعلاه هي أيضًا خارج نطاق برنامج AWS للكشف عن الثغرات الأمنية. سيؤدي إجراء أي من الأنشطة المذكورة أعلاه إلى فقدان الأهلية من البرنامج بشكل دائم.
الإشعار العام
إن أمكن، فستنسق AWS إرسال إشعار عام بوجود أي ثغرة أمنية تم التحقق منها. حيثما أمكن، فإننا نفضل نشر الإفصاحات العامة ذات الصلة بصورة متزامنة.
من أجل حماية عملائنا، تطلب AWS عدم نشر أو مشاركة معلومات حول ثغرة أمنية محتملة في أي مكان عام حتى نعالج الثغرة الأمنية المبلغ عنها ونبلغ العملاء إذا لزم الأمر. وسنطلب منك أيضًا عدم نشر أي بيانات تخص عملاءنا أو مشاركتها. يرجى ملاحظة أن الوقت اللازم للتخفيف من الثغرة الأمنية يعتمد على شدة الثغرة الأمنية والأنظمة المتأثرة.
تقوم AWS بإرسال إشعارات عامة في شكل نشرات أمان، ويتم نشرها على موقع أمان AWS. عادةً ينشر الأفراد، والشركات، وفرق الأمان نصائحهم على مواقع الويب الخاصة بهم وفي المنتديات الأخرى، وعند الاقتضاء، نضع روابط إلى موارد الطرف الخارجي في نشرات أمان AWS.
الملاذ الآمن
نعتقد أن البحوث الأمنية التي تجرى بحسن نية ينبغي أن توفر الملاذ الآمن. لأغراض الملاذ الآمن للأبحاث الأمنية والإبلاغ عن الثغرات الأمنية، اعتمدنا المعيار Gold Standard Safe Harbor. نتطلع إلى العمل مع الباحثين الأمنيين الذين يشاركوننا شغفنا لحماية عملائنا.
يدعم Gold Standard Safe Harbour حماية المؤسسات والمتسللين المشاركين في Good Faith Security Research. «Good Faith Security Research» هو الوصول إلى جهاز كمبيوتر فقط لأغراض الاختبار والتحقيق و/أو تصحيح ثغرة أمنية بحسن نية، حيث يتم تنفيذ هذا النشاط بطريقة مصممة لتجنب أي ضرر للأفراد أو الجمهور، وحيث يتم استخدام المعلومات المستمدة من النشاط في المقام الأول لتعزيز أمن أو سلامة فئة الأجهزة أو الآلات أو الخدمات عبر الإنترنت التي ينتمي إليها الكمبيوتر الذي تم الوصول إليه، أو أولئك الذين يستخدمون هذه الأجهزة أو الآلات أو عبر الإنترنت خدمات.
نحن نعتبر Good Faith Security Research نشاطًا مرخصًا ومحميًا من الإجراءات القانونية العدائية من قبلنا. نتنازل عن أي قيود ذات صلة في شروط الخدمة («TOS») و/أو سياسات الاستخدام المقبول («AUP») التي تتعارض مع معيار Good Faith Security Research هنا.
هذا يعني أنه بالنسبة للنشاط الذي يتم إجراؤه أثناء نشاط هذا البرنامج، فإننا:
- لن نتخذ أي إجراء قانوني ضدك أو تبلغ عنك في إطار Good Faith Security Research، بما في ذلك تجاوز التدابير التكنولوجية التي نستخدمها لحماية التطبيقات في النطاق؛ و
- سنتخذ خطوات للتأكد من أنك أجريت بحثًا أمنيًا بحسن نية (Good Faith Security Research) إذا قام شخص آخر باتخاذ إجراء قانوني ضدك.
يجب عليك الاتصال بنا للحصول على توضيح قبل الانخراط في سلوك تعتقد أنه قد لا يتوافق مع Good Faith Security Research أو لا تتناوله سياستنا.
ضع في اعتبارك أننا لا نستطيع السماح بإجراء أبحاث أمنية على البنية التحتية الخاصة بطرف ثالث، وأن الطرف الثالث غير ملزم ببيان الملاذ الآمن هذا.
سياسة إقرار الذمة
بمجرد تقديم البلاغ، سنتحقق من الثغرة الأمنية المُبلغ عنها. إذا كانت هناك معلومات إضافية مطلوبة للتحقق من المشكلة أو إعادة إنتاجها، فسنعمل معك للحصول على هذه المعلومات. وبمجرد اكتمال التحقيق الأولي، فسيتم تسليمك النتائج مع وضع خطة للحل ومناقشة الكشف العام.
ومن الأمور التي يجب ملاحظتها حول العملية:
- منتجات الطرف الثالث: إذا تبين أن الثغرة الأمنية تؤثر على منتج تابع لجهة خارجية، فسنقوم بإخطار مالك التقنية المتأثرة. وسنواصل التنسيق بينك أنت والطرف الخارجي. ولن يتم كشف هويتك للطرف الخارجي دون الحصول على إذنك.
- تأكيد عدم وجود ثغرات أمنية: إذا تعذر التحقق من صحة المشكلة، أو إذا لم يتم العثور على نطاقها، فستتم مشاركة ذلك معك.
- تصنيف الثغرات الأمنية: نستخدم الإصدار 3.1 من نظام تسجيل الثغرات الأمنية المشتركة (CVSS) لتقييم الثغرات الأمنية المحتملة. تساعد النتيجة النهائية في تحديد مدى خطورة المشكلة وتحديد أولوياتنا في الرد. لمزيد من المعلومات حول CVSS، يُرجى الرجوع إلى موقع NVD.
عند المشاركة في برنامج الكشف عن نقاط الضعف لدينا بحسن نية، نطلب منك:
- التزم بالقواعد، بما في ذلك اتباع هذه السياسة وأي اتفاقيات أخرى ذات صلة. إذا كان هناك أي تناقض بين هذه السياسة وأي شروط أخرى سارية، فستسود شروط هذه السياسة؛
- قم بالإبلاغ عن أي ثغرة أمنية اكتشفتها على الفور؛
- تجنب انتهاك خصوصية الآخرين وتعطيل أنظمتنا وتدمير البيانات و/أو الإضرار بتجربة المستخدم؛
- استخدم القنوات المذكورة سابقًا فقط لمناقشة معلومات الضعف معنا؛
- تزويدنا بفترة زمنية معقولة من التقرير الأولي لحل المشكلة قبل الكشف عنها علنًا؛
- إجراء الاختبار فقط على الأنظمة داخل النطاق، واحترام الأنظمة والأنشطة الخارجة عن النطاق؛
- إذا كانت الثغرة الأمنية توفر وصولاً غير مقصود إلى البيانات: حدد كمية البيانات التي تصل إليها إلى الحد الأدنى المطلوب لإظهار إثبات المفهوم بشكل فعال؛ وتوقف عن الاختبار وأرسل تقريرًا فورًا إذا واجهت أي بيانات مستخدم أثناء الاختبار، مثل معلومات التعريف الشخصية (PII) أو معلومات الرعاية الصحية الشخصية (PHI) أو بيانات بطاقة الائتمان أو معلومات الملكية؛
- لا تتفاعل إلا مع حسابات الاختبار التي تمتلكها أو بإذن صريح من صاحب الحساب؛ و
- لا تشارك في الابتزاز.