漏洞报告
Amazon Web Services 对安全问题极为重视,会调查所有报告的漏洞。本页描述我们处理任何云服务方面的潜在漏洞的实践。
报告疑似漏洞
- Amazon Web Services (AWS):如果您想报告漏洞或对 AWS 云服务或开源项目有安全方面的疑问,请通过联系 aws-security@amazon.com 提交信息。如果您想要保护提交的内容,则可以使用我们的 PGP 密钥。
- 针对渗透测试的 AWS 客户支持政策:欢迎 AWS 客户对自己的 AWS 基础设施执行安全评估或渗透测试,而无需针对列出的服务获得事先批准。为其他模拟测试申请授权应通过模拟事件表提交。对于在 AWS 中国(宁夏和北京)区域运营的客户,请使用此模拟事件表。
- AWS 滥用:如果您怀疑 AWS 资源(如 EC2 实例或 S3 存储桶)正被用于可疑活动,您可通过报告 Amazon AWS 滥用表或联系 abuse@amazonaws.com,将其报告给 AWS 滥用团队。
- AWS 合规信息:可通过 AWS Artifact 访问 AWS 合规报告。如果您有其他 AWS 合规相关问题,请通过其登记表与合规团队联系。
- Amazon.com(零售网站):如果您对 Amazon.com(零售网站)、Seller Central、Amazon Payments 有安全方面的疑问或有其他相关问题(如可疑订单、信用卡支付无效、可疑电子邮件或报告漏洞,请访问我们的零售安全性网页。
请提供任何支持资料(概念验证代码、工具输出等),以便我们了解漏洞的性质和严重性,从而更高效地回复您的报告。
AWS 会对您在此过程中共享的信息保密。只有当发现您报告的漏洞影响第三方产品时,AWS 才会与第三方共享此信息,在这种情况下,我们将与第三方产品的作者或制造商共享此信息。否则,AWS 将仅在您的允许下共享此信息。
AWS 将查看提交的报告,并为其指定一个追踪编号。然后,我们将回复您,确认已收到该报告,并概述将要进行的后续步骤。
AWS 评估的 SLA
AWS 承诺会尽快回应报告,并在我们调查和/或减轻您报告的安全问题期间始终让您知道我们的进度。在您初次联系之后的 24 小时内,您将收到一封非自动邮件回复,确认我们已收到报告的漏洞。您至少每五个美国工作日都会收到来自 AWS 的进度更新。
公开通知
如果适用,AWS 将向您发送任何经过验证的漏洞的公开通知。如果可能,我们希望同时发布各个公开披露的公告。
为了保护我们的客户,AWS 请求您在我们对报告的漏洞和作出研究、回复和处理以及告知客户(如有需要)之前,不要在任何公共场合发布或分享有关潜在漏洞的任何信息。同样请不要发布或分享属于我们客户的任何数据。处理有效报告的漏洞需要时间,而时长将取决于漏洞的严重性和受影响的系统。
AWS 将以安全公告的形式在 AWS 安全网站发布公开通知。个人、公司和安全团队一般会在自己的网站和其他论坛上发布他们自己的公告,当内容相关时,我们会在 AWS 安全公告中包含指向这些第三方资源的链接。
安全港
AWS 认为,应当为出于良好意愿开展的安全研究提供安全港。根据以下条件,我们采用了 Disclose.io 的核心条款,并且我们期待与同样热衷于保护 AWS 客户的安全研究人员合作。
范围
下列活动不在 AWS 漏洞报告计划的范围之内。开展任何下列活动将导致永久取消参与该计划的资格。
- 以托管在我们基础设施上的 AWS 客户或非 AWS 站点的资产为目标
- 任何以泄露 AWS 客户或员工账户为前提而获得的任何漏洞
- 针对 AWS 产品或 AWS 客户的拒绝服务 (DoS) 攻击
- 针对 AWS 员工、办事处和数据中心的物理攻击
- 针对 AWS 员工、承包商、供应商或服务提供商的社会工程
- 故意发布、传输、上传、链接或发送恶意软件
- 寻求发送未经请求的批量消息(垃圾邮件)的漏洞
披露政策
提交报告后,AWS 将验证所报告的漏洞。如果需要其他信息才能验证或重现该问题,AWS 将从您这里获得该信息。完成初期调查后,将向您发送结果以及解决问题和讨论公开披露的计划。
关于 AWS 处理的几个注意事项:
- 第三方产品:许多供应商在 AWS 云中提供产品。如果该漏洞影响第三方产品,AWS 将通知受影响技术的拥有者。AWS 将继续在您和第三方之间进行协调。没有您的允许,我们不会将您的身份透露给第三方。
- 无漏洞确认:如果我们无法验证该问题,或者认为它并非来源于 AWS 产品,将与您分享该结果。
- 漏洞分类:AWS 使用 3.1 版本的通用漏洞评分系统 (CVSS) 来评估潜在漏洞。生成的分数有助于量化问题的严重性以及决定我们的响应顺序。有关 CVSS 的更多信息,请参考 NVD 站点。
