漏洞报告
Amazon Web Services 对安全问题极为重视,会调查所有报告的漏洞。本页描述我们处理任何云服务方面的潜在漏洞的实践。
报告疑似漏洞
- Amazon Web Services(AWS):如果您想报告漏洞或对 AWS 云服务或开源项目有安全方面的疑问,请通过联系 aws-security@amazon.com 提交信息。如果您想要保护提交的内容,则可以使用我们的 PGP 密钥。
- Amazon.com(零售网站):如果您对 Amazon.com(零售网站)、Seller Central、Amazon Payments 有安全方面的疑问或有其他相关问题(如可疑订单、信用卡支付无效、可疑电子邮件或报告漏洞,请访问我们的零售安全性网页。
- 针对渗透测试的 AWS 客户支持政策:欢迎 AWS 客户对自己的 AWS 基础设施执行安全评测或渗透测试,而无需针对列出的服务获得事先批准。为其他模拟测试申请授权应通过模拟事件表提交。对于在 AWS 中国(宁夏和北京)区域运营的客户,请使用此模拟事件表。
- AWS 滥用:如果您怀疑 AWS 资源(如 EC2 实例或 S3 存储桶)正被用于可疑活动,您可通过报告 Amazon AWS 滥用表或联系 abuse@amazonaws.com,将其报告给 AWS 滥用团队。
- AWS 合规信息:可通过 AWS Artifact 访问 AWS 合规报告。如果您有其他 AWS 合规相关问题,请通过其登记表与合规团队联系。
请提供任何支持资料(概念验证代码、工具输出等),以便我们了解漏洞的性质和严重性,从而更高效地回复您的报告。
AWS 会对您在此过程中共享的信息保密。只有当发现您报告的漏洞影响第三方产品时,AWS 才会与第三方共享此信息,在这种情况下,我们将与第三方产品的作者或制造商共享此信息。否则,AWS 将仅在您的允许下共享此信息。
AWS 将查看提交的报告,并为其指定一个跟踪编号。然后,我们将回复您,确认已收到该报告,并概述将要进行的后续步骤。
范围
下列活动不在 AWS 漏洞报告计划的范围之内。开展任何下列活动将导致永久取消参与该计划的资格。
- 以托管在我们基础设施上的 AWS 客户或非 AWS 站点的资产为目标
- 任何以泄露 AWS 客户或员工账户为前提而获得的任何漏洞
- 针对 AWS 产品或 AWS 客户的拒绝服务(DoS)攻击
- 针对 AWS 员工、办事处和数据中心的物理攻击
- 针对 AWS 员工、承包商、供应商或服务提供商的社会工程
- 故意发布、传输、上传、链接或发送恶意软件
- 寻求发送未经请求的批量消息(垃圾邮件)的漏洞
AWS 评估的 SLA
AWS 会竭力尽快回应,并让您随时了解进度。您将在 24 小时内收到非自动回复,确认收到您的初始报告。在整个合作期间,我们会及时提供更新信息,并每月进行沟通确认。您可以随时请求更新信息,我们欢迎进行对话以澄清任何疑虑或协调披露协调事项。
公开通知
如果适用,AWS 将向您发送任何经过验证的漏洞的公开通知。如果可能,我们希望同时发布各个公开披露的公告。
为了保护我们的客户,AWS 请求您在我们对报告的漏洞和作出研究、回复和处理以及告知客户(如有需要)之前,不要在任何公共场合发布或分享有关潜在漏洞的任何信息。同样请不要发布或分享属于我们客户的任何数据。处理有效报告的漏洞需要时间,而时长将取决于漏洞的严重性和受影响的系统。
AWS 将以安全公告的形式在 AWS 安全网站发布公开通知。个人、公司和安全团队一般会在自己的网站和其他论坛上发布他们自己的公告,当内容相关时,我们会在 AWS 安全公告中包含指向这些第三方资源的链接。
安全港
AWS 认为,应当为出于良好意愿开展的安全研究提供安全港。出于进行安全研究和报告漏洞的安全港目的,AWS Security 采用了 disclose.io 的核心条款,特别是“安全港”和“我们的期望”。 我们期待与和我们一样热衷于保护 AWS 客户的安全研究人员合作。
因此,我们认为根据本政策进行的安全研究:
- 已获得任何适用的反黑客法律的授权,我们不会因您意外、善意违反本政策而对您提起法律诉讼或支持此类诉讼;
- 已获得任何相关反规避法律的授权,我们不会因规避技术控制而向您提出索赔;
- 不受我们的服务条款和/或可接受的使用政策中可能干扰安全研究进行的限制,并且我们在有限的基础上放弃这些限制;以及
- 合法,有助于互联网的整体安全,并出于善意行事。
您应一如既往地遵守所有适用法律。如果第三方对您提起法律诉讼,并且您遵守了本政策,我们将采取措施表明您的行为符合本政策。
如果您在任何时候有疑虑或不确定您的安全研究是否符合本政策,请在继续操作之前通过我们之前提到的“报告疑似漏洞”下的渠道之一提交报告。
请注意,安全港仅适用于参与本政策的组织控制下的合法索赔,并且本政策对独立的第三方没有约束力。
在出于善意参与我们的漏洞披露计划时,我们要求您:
- 遵守规则,包括遵守本政策和任何其他相关协议。如果本政策与任何其他适用条款之间存在任何不一致之处,则以本政策的条款为准;
- 立即报告您发现的任何漏洞;
- 避免侵犯他人隐私、干扰我们的系统、破坏数据和/或损害用户体验;
- 仅使用前面提到的渠道与我们讨论漏洞信息;
- 在您公开披露问题之前,请提供从初次报告到解决问题的合理时间;
- 仅对范围内的系统进行测试,并遵从范围外系统和活动的要求;
- 如果漏洞提供对数据的意外访问:请将您访问的数据量限制在有效演示概念验证所需的最低限度;如果您在测试过程中遇到任何用户数据,例如个人身份信息(PII)、个人医疗保健信息(PHI)、信用卡数据或专有信息,请立即停止测试并提交报告;
- 仅与您自有的测试账户进行互动,或在账户持有人明确许可的情况下进行互动;以及
- 不要参与勒索活动。
披露政策
提交报告后,AWS 将验证所报告的漏洞。如果需要其他信息才能验证或重现该问题,AWS 将从您这里获得该信息。完成初期调查后,将向您发送结果以及解决问题和讨论公开披露的计划。
关于 AWS 处理的几个注意事项:
- 第三方产品:许多供应商在 AWS 云中提供产品。如果该漏洞影响第三方产品,AWS 将通知受影响技术的拥有者。AWS 将继续在您和第三方之间进行协调。没有您的允许,我们不会将您的身份透露给第三方。
- 无漏洞确认:如果我们无法验证该问题,或者认为它并非来源于 AWS 产品,将与您分享该结果。
- 漏洞分类:AWS 使用 3.1 版本的通用漏洞评分系统 (CVSS) 来评估潜在漏洞。生成的分数有助于量化问题的严重性以及决定我们的响应顺序。有关 CVSS 的更多信息,请参考 NVD 站点。
