الإبلاغ عن الثغرات الأمنية

التعامل مع الثغرات الأمنية المحتملة في أيٍ من جوانب خدماتنا السحابية

تأخذ Amazon Web Services مسألة الأمان بجدية تامة، وتتحقق من جميع الثغرات الأمنية المُبلغ عنها. تصف هذه الصفحة ممارستنا للتعامل مع الثغرات الأمنية المحتملة في أيٍ من جوانب خدماتنا السحابية.

الإبلاغ عن الثغرات الأمنية المشتبه فيها

  • Amazon.com (للبيع بالتجزئة): إذا كانت لديك أي مخاوف أمنية بخصوص Amazon.com (للبيع بالتجزئة)، أو Seller Central، أو بخصوص Amazon Payments، أو مشكلات أخرى ذات صلة مثل الطلبات المشبوهة، أو رسوم بطاقة ائتمان غير صالحة، أو رسائل بريد إلكتروني مشبوهة، أو الإبلاغ عن الثغرات الأمنية، يُرجى زيارة صفحتنا أمان البيع بالتجزئة.
  • Amazon Web Services (AWS): إذا كنت ترغب في الإبلاغ عن ثغرة أمنية أو لديك مخاوف تتعلق بالأمان فيما يتعلق بخدمات AWS السحابية، يُرجى إرسال رسالة بريد إلكتروني إلى aws-security@amazon.com. إذا كنت ترغب في حماية بريدك الإلكتروني، يمكنك استخدام مفتاح PGP الخاص بنا.

إذا ساورتك أي شكوك بشأن استخدام موارد AWS (مثل مثيل EC2 أو حاوية S3) في نشاط مشبوه، يمكنك إبلاغ فريق إساءة استخدام AWS بذلك.

ولكي يتسنى لنا الاستجابة لإبلاغك بصورة أكثر فعالية، يُرجى تقديم أي مواد داعمة (مثل، كود إثبات المفهوم، ومخرجات الأداة، وما إلى ذلك) والتي قد تساعد في فهم طبيعة الثغرة الأمنية ومدى شدتها.

ستظل المعلومات التي تشاركها مع AWS في إطار هذه العملية محفوظة بسرية داخل AWS. ولن تجري مشاركتها مع أطراف خارجية دون إذنك.

ستراجع AWS البلاغ المقدم وتعيّن رقم تتبع خاص به. وبعد ذلك سنرد عليك، ونرسل إقرارًا باستلام التقرير، وسنحدد الخطوات التالية في مسار العملية.

التقييم المقدم بواسطة AWS

بمجرد تقديم البلاغ، ستتحقق AWS من الثغرة الأمنية المُبلغ عنها. وعند الحاجة لمعلومات إضافية للتحقق من المشكلة أو إعادة إنتاجها، فستعمل AWS معك للحصول على هذه المعلومات. وبمجرد اكتمال التحقيق الأولي، سيتم تسليمك النتائج مع وضع خطة للحل والكشف العام.

ومن الأمور التي يجب ملاحظتها حول عملية تقييم AWS:

  • منتجات الجهات الخارجية: يقدم العديد من البائعين منتجاتهم ضمن سحابة AWS. في حالة اكتشاف أن الثغرة الأمنية تؤثر على منتج خاص بطرف خارجي، فستخطر AWS مُعد البرنامج المتأثر. وستواصل AWS التنسيق بينك أنت والطرف الخارجي. ولن يتم كشف هويتك للطرف الخارجي دون الحصول على إذنك.
  • تأكيد عدم وجود أي ثغرات أمنية: إذا تعذر التحقق من المشكلة، أو لم يتم العثور على أي أعطال في أيٍ من منتجات AWS، فستتم مشاركة هذا معك.
  • تصنيف الثغرات الأمنية: تستخدم AWS الإصدار 2.0 من نظام تسجيل الثغرات الأمنية المشتركة (CVSS) لتقييم الثغرات الأمنية المحتملة. تساعد النتيجة النهائية في تحديد مدى خطورة المشكلة وتحديد أولوياتنا في الرد. للحصول على مزيد من المعلومات حول CVSS، يُرجى الاطلاع على إعلان CVSS-SIG.

تلتزم AWS بالاستجابة وإطلاعك على التقدم المُحرز أثناء التحقيق و/أو تهدئة المخاوف الأمنية المُبلغ عنها. ستتلقى استجابة غير آلية على اتصالك الأولي في غضون 24 ساعة، لتأكيد استلام البلاغ الخاص بالثغرات الأمنية المُبلغ عنها. ستتلقى تحديثات حول التقدم الذي نحرزه كل خمسة أيام عمل على الأقل.

الإخطار العام

إذا كان ينطبق، ستنسق AWS إرسال إخطار عام بوجود ثغرة أمنية تم التحقق منها. وإذا أمكن، فإننا نفضل نشر الإفصاحات العامة ذات الصلة بصورة متزامنة.

ولتوفير الحماية لعملائنا، ستطلب AWS منك عدم نشر أي معلومات حول وجود ثغرة أمنية محتملة أو مشاركتها في أي مكان عام حتى نقوم بالبحث عن الثغرة الأمنية المُبلغ عنها والاستجابة لها ومعالجتها وإخطار العملاء إذا لزم الأمر. وسنطلب منك أيضًا عدم نشر أي بيانات تخص عملائنا أو مشاركتها. قد تستغرق معالجة ثغرة أمنية مُبلغ عنها بعض الوقت. وسيختلف هذا الوقت بناءً على شدة الثغرة الأمنية والأنظمة المتأثرة.

يتم إرسال إخطارات AWS العامة في شكل نشرات أمان، ويتم نشرها في مركز الأمان في AWS. عادة ينشر الأفراد، والشركات، وفرق الأمان نصائحهم على مواقع الويب الخاصة بهم وفي المنتديات الأخرى، وعند الاقتضاء، فإننا نضع روابط إلى موارد الطرف الخارجي في نشرات أمان AWS.

اتصل بأحد ممثلي AWS لشؤون الأعمال التجارية
هل لديك استفسارات؟ اتصل بممثل AWS لشؤون الأعمال التجارية
هل تريد استكشاف أدوار الأمان؟
التقديم اليوم »
هل ترغب في تحديثات أمان AWS؟
تابعنا على Twitter »