漏洞報告
Amazon Web Services 非常重視安全性,會調查所有舉報的漏洞。本頁面介紹了解決我們所有雲端服務層面的潛在漏洞的實務做法。
舉報可疑的漏洞
- Amazon Web Services (AWS)︰若您想舉報漏洞或對 AWS 雲端服務或開放原始碼專案有安全方面的疑問,請聯絡 aws-security@amazon.com 提交資訊。如果您希望保護您提交的內容,您可以使用我們的 PGP key。
- Amazon.com (零售網站)︰若您對 Amazon.com (零售網站)、Seller Central、Amazon Payments 有安全方面的疑問或有其他相關問題 (如可疑訂單、信用卡支付無效、可疑電子郵件或漏洞報告),請瀏覽:零售安全網頁。
- 適用於滲透測試的 AWS 客戶支援政策:歡迎 AWS 客戶對其 AWS 基礎架構進行安全評估或滲透測試,無需事先取得所列服務的核准。請求其他模擬事件的授權應透過模擬事件表單提交。如果是在 AWS 中國 (寧夏和北京) 區域營運的客戶,請使用此模擬事件表單。
- AWS 濫用:如果您懷疑 AWS 資源 (例如,EC2 執行個體或 S3 儲存貯體) 正被用於可疑活動,您可以使用報告 Amazon AWS 濫用表單或透過 abuse@amazonaws.com 向 AWS 濫用團隊報告。
- AWS 合規資訊:可以透過 AWS Artifact 存取 AWS 合規報告。如果您還有其他與 AWS 合規相關的問題,請透過意見表格與他們聯絡。
請提供任何支援資料 (概念證明代碼、工具輸出等),以便我們更有效地回覆您的報告。這些資料對協助我們了解該漏洞的性質和嚴重性非常有用。
AWS 會對您在此過程中分享的資訊保密。僅當發現您報告的漏洞影響第三方產品時,AWS 才會與第三方共享此資訊,在這種情況下,我們將與第三方產品的作者或製造商分享此資訊。否則,AWS 將僅在您允許的情況下分享此資訊。
AWS 將查看提交的報告,並為其指定一個追蹤編號。然後,我們將回覆您以確認已收到該報告,並概述將要進行的後續步驟。
範圍
以下活動不在 AWS 漏洞報告計劃的範圍內。進行以下任何活動均將永久取消該參與計劃的資格。
- 以我們基礎設施上託管的 AWS 客戶或非 AWS 網站的資產為目標
- 透過破壞 AWS 客戶或員工帳戶而獲得的任何漏洞
- 針對 AWS 產品或 AWS 客戶的任何拒絕服務 (DoS) 攻擊
- 針對 AWS 員工、辦公室和資料中心的實體攻擊
- 針對 AWS 員工、承包商、供應商或服務提供商的社交工程
- 故意發佈、傳輸、上傳、連結或傳送惡意軟體
- 尋求傳送來路不明的批量訊息 (垃圾郵件) 的漏洞
AWS 的評估 SLA
AWS 會儘速回覆,並讓您隨時了解進度。您將收到一封非自動郵件回覆,確認已於 24 小時內收到您的初始報告,及時更新,以及在整個參與過程中每月簽入。您可隨時要求更新,我們也歡迎您與我們進行對話,以便釐清任何疑慮或披露協調。
公開通知
如果適用,AWS 將與您協調傳送任何經過驗證的漏洞公開通知。如果可能,我們希望同時發佈各個公開披露的公告。
為了保護我們的客戶,AWS 請求您在我們對報告的漏洞作出研究、回覆和處理及通知客戶 (如有需要) 之前,不要在任何公共場合發佈或分享有關潛在漏洞的任何資訊。同樣請不要發佈或分享屬於我們客戶的任何資料。解決一個報告的有效漏洞將需要時間,並且需要的時間將取決於漏洞的嚴重程度和受影響的系統。
AWS 公開通知是以安全公告的形式在 AWS Security 網站公佈。個人、公司和安全團隊一般會在自己的網站和其他論壇上發佈自己的公告,當內容相關時,我們會在 AWS 安全公告中包含這些第三方資源的連結。
安全港
AWS 認為,應該為誠實進行的安全研究提供安全港。針對安全研究和報告漏洞的安全港,AWS Security 已採用 disclose.io 的核心條款,特別是「安全港」和「我們的期望」。 我們期待與安全研究人員合作,他們對於保護 AWS 客戶有想通的熱情。
因此,我們認為根據本政策進行的安全研究是:
- 就任何適用的反駭客法律取得授權,且我們不會因您意外、真誠違反本政策而向您展開或支援對您採取法律行動;
- 就任何相關的反規避法律取得授權,且我們不會因您規避技術管制而向您提出索賠;
- 不受我們的服務條款及/或可接受的使用政策中可能干擾安全研究進行的限制,且我們會在有限的基礎上放棄這些限制;以及
- 合法,有助於網際網路的整體安全性,並誠實進行。
與往常一樣,我們要求您遵守所有適用法律。如果第三方向您展開法律訴訟,而您已遵守本政策,我們將採取步驟告知其您的行為依據本政策進行的。
如果您隨時對您的安全性研究是否遵守本政策存有疑慮或無法確定,請透過之前提及的「舉報可疑的漏洞」下的其中一個渠道提交報告,然後再進一步採取任何措施。
請注意,安全港僅適用於參與本政策的組織控制下的法律索賠,並且本政策不會約束獨立第三方。
在真誠參與我們的漏洞披露計畫時,我們要求您:
- 遵守規則,包括遵守本政策和任何其他相關協議。如果本政策與任何其他適用條款之間存在任何不一致,則應以本政策的條款為準;
- 立即報告您已發現的任何漏洞;
- 避免侵犯他人的隱私權,中斷我們的系統,破壞資料及/或損害使用者體驗;
- 僅使用之前提及的渠道與我們討論漏洞資訊;
- 在您公開披露問題之前,請為我們提供一段合理的時間,以便我們從初次報告便解決問題;
- 僅對範圍內的系統執行測試,並尊重超出範圍的系統和活動;
- 如果漏洞導致意外存取資料:將您存取的資料量限制為有效證明概念驗證所需的最低要求;如果您在測試期間遇到任何使用者資料 (例如個人身分識別資訊 (PII)、個人醫療保健資訊 (PHI)、信用卡資料或專有資訊),請立即停止測試並提交報告;
- 僅與您擁有的或經帳戶持有人明確許可的測試賬戶進行互動;以及
- 切勿參與勒索。
披露政策
提交報告後,AWS 將驗證所舉報的漏洞。如果需要其他資訊才能驗證或重現該問題,AWS 將與您合作取得該資訊。完成初期調查後,會將結果發送給您並提供解決問題的計劃和討論公開披露。
關於 AWS 過程的幾個注意事項:
- 第三方產品︰許多供應商在 AWS 雲端中提供產品。如果該漏洞影響第三方產品,AWS 將通知受影響技術的擁有者。AWS 將持續在您和第三方之間進行協調。未經您的許可,我們不會將您的身分透露給第三方。
- 無漏洞確認︰若無法驗證該問題,或者發現它不是來自 AWS 產品中的漏洞,我們將與您分享該結果。
- 漏洞分類︰AWS 使用 3.1 版本的通用漏洞評分系統 (CVSS) 來評估潛在漏洞。產生的分數有助於量化問題的嚴重性以決定我們的回應順序。有關 CVSS 的更多資訊,請參考 NVD 網站。
