الإبلاغ عن الثغرات الأمنية

التعامل مع الثغرات الأمنية المحتملة في أيٍ من جوانب خدماتنا السحابية

تأخذ Amazon Web Services مسألة الأمان بجدية تامة، وتتحقق من جميع الثغرات الأمنية المُبلغ عنها. تصف هذه الصفحة ممارستنا للتعامل مع الثغرات الأمنية المحتملة في أيٍ من جوانب خدماتنا السحابية.

الإبلاغ عن الثغرات الأمنية المشتبه فيها

  • Amazon Web Services (AWS): إذا كنت ترغب في الإبلاغ عن ثغرة أمنية أو لديك مخاوف تتعلق بالأمان فيما يتعلق بخدمات سحابة AWS أو المشاريع مفتوحة المصدر، يُرجى إرسال المعلومات عن طريق التواصل على aws-security@amazon.com. إذا كنت ترغب في حماية محتويات ما ترسله، يُمكنك استخدام مفتاح PGP.
  • سياسة خدمة دعم عملاء AWS لاختبار الاختراق: نرحب بعملاء AWS لإجراء تقييمات الأمان أو اختبارات الاختراق مقارنةً ببنية AWS الأساسية بدون الحصول على موافقة مسبقة للحصول على الخدمات المدرجة. يجب إرسال طلب تفويض لأحداث أخرى تتم محاكاتها عبر نموذج الأحداث التي تمت محاكاتها. بالنسبة للعملاء العاملين في منطقة AWS الصين (نينجشيا وبكين)، يُرجى استخدام نموذج محاكاة الأحداث هذا.
  • إساءة استخدام AWS: إذا ساورتك أي شكوك بشأن استخدام موارد AWS (مثل مثيل EC2 أو حاوية S3) في نشاط مشبوه، يمكنك إبلاغ فريق إساءة استخدام AWS باستخدام نموذج الإبلاغ عن إساءة استخدام Amazon AWS، أو بالاتصال بـ abuse@amazonaws.com.
  • معلومات التوافق مع AWS: الوصول إلى تقارير التوافق مع AWS متاح عبر AWS Artifact. إذا كانت لديك أسئلة إضافية متعلقة بالامتثال لـ AWS، يُرجى التواصل معهم عبر نموذج السحب الخاص بهم.
  • Amazon.com (للبيع بالتجزئة): إذا كانت لديك أي مخاوف أمنية بخصوص Amazon.com (للبيع بالتجزئة)، أو Seller Central، أو بخصوص Amazon Payments، أو مشكلات أخرى ذات صلة مثل الطلبات المشبوهة، أو رسوم بطاقة ائتمان غير صالحة، أو رسائل بريد إلكتروني مشبوهة، أو الإبلاغ عن الثغرات الأمنية، يُرجى زيارة صفحتنا على الويب أمان البيع بالتجزئة.

ولكي يتسنى لنا الاستجابة لإبلاغك بصورة أكثر فعالية، يُرجى تقديم أي مواد داعمة (مثل، كود إثبات المفهوم، ومخرجات الأداة، وما إلى ذلك) والتي قد تساعد في فهم طبيعة الثغرة الأمنية ومدى شدتها.

ستظل المعلومات التي تشاركها مع AWS في إطار هذه العملية محفوظة بسرية داخل AWS. لن تقوم AWS بمشاركة هذه المعلومات إلا مع طرف خارجي في حالة اكتشاف أن مشكلة عدم الأمان التي قمت بالإبلاغ عنها تؤثر في منتج تابع لجهة خارجية، وفي هذه الحالة سنشارك هذه المعلومات مع مؤلف منتج جهة خارجية أو الشركة المصنعة له. وإلا، فإن AWS ستشارك هذه المعلومات فقط كما تسمح أنت بذلك.

ستراجع AWS البلاغ المقدم وتعيّن رقم تتبع خاص به. وبعد ذلك سنرد عليك، ونرسل إقرارًا باستلام التقرير، وسنحدد الخطوات التالية في مسار العملية.

SLA للتقييم المقدم بواسطة AWS

تلتزم AWS بالاستجابة وإطلاعك على التقدم المُحرز في أثناء التحقيق و/أو تهدئة المخاوف الأمنية المُبلغ عنها. ستتلقى استجابة غير آلية على اتصالك الأولي في غضون 24 ساعة، لتأكيد استلام البلاغ الخاص بالثغرات الأمنية المُبلغ عنها. ستتلقى تحديثات حول التقدم الذي نحرزه من AWS كل خمسة أيام عمل في الولايات المتحدة على الأقل.

الإشعار العام

إن أمكن، فستنسق AWS إرسال إشعار عام بوجود أي ثغرة أمنية تم التحقق منها. حيثما أمكن، فإننا نفضل نشر الإفصاحات العامة ذات الصلة بصورة متزامنة.

ولتوفير الحماية لعملائنا، ستطلب AWS منك عدم نشر أي معلومات حول وجود ثغرة أمنية محتملة أو مشاركتها في أي مكان عام حتى نقوم بالبحث عن الثغرة الأمنية المُبلغ عنها، والاستجابة لها، ومعالجتها، وإخطار العملاء إذا لزم الأمر. وسنطلب منك أيضًا عدم نشر أي بيانات تخص عملاءنا أو مشاركتها. ستستغرق معالجة مشكلة عدم أمان صالحة تم الإبلاغ عنها وقتًا، وسيتوقف المخطط الزمني على خطورة مشكلة عدم الأمان والأنظمة المتأثرة.

تقوم AWS بإرسال إشعارات عامة في شكل نشرات أمان، ويتم نشرها على موقع أمان AWS. عادةً ينشر الأفراد، والشركات، وفرق الأمان نصائحهم على مواقع الويب الخاصة بهم وفي المنتديات الأخرى، وعند الاقتضاء، نضع روابط إلى موارد الطرف الخارجي في نشرات أمان AWS.  

الملاذ الآمن

تعتقد AWS أن البحوث الأمنية التي تجرى بحسن نية ينبغي أن توفر الملاذ الآمن. لقد تبنينا الشروط الأساسية الخاصة بـ Disclose.io’s Core Terms، وفقًا للشروط أدناه، ونتطلع إلى العمل مع الباحثين في مجال الأمن الذين يشاركوننا شغفنا بحماية عملاء AWS.

النطاق

الأنشطة التالية خارج نطاق برنامج الإبلاغ عن الثغرات الأمنية في AWS. سيؤدي إجراء أي من الأنشطة أدناه إلى استبعاد البرنامج بشكل دائم.

  1. استهداف أصول عملاء AWS أو المواقع غير التابعة لـ AWS المستضافة على البنية الأساسية لدينا
  2. أي ثغرة أمنية تحدث من خلال تعريض عميل AWS للخطر أو حسابات الموظفين
  3. أي هجوم لرفض الخدمة (DoS) ضد منتجات AWS أو عملاء AWS
  4. اعتداءات بدنية ضد موظفي AWS، والمكاتب، ومراكز البيانات
  5. الهندسة الاجتماعية لموظفي AWS، أو المقاولين، أو المورّدين، أو موفري الخدمات
  6. نشر البرامج الضارة، أو نقلها، أو تحميلها، أو إرسال روابط لها، أو إرسالها عن علم
  7. تعقب الثغرات الأمنية التي ترسل رسائل مجمعة غير مرغوب فيها (رسائل غير مرغوب فيها)

سياسة إقرار الذمة

بمجرد تقديم البلاغ، ستتحقق AWS من الثغرة الأمنية المُبلغ عنها. إذا كانت هناك معلومات إضافية مطلوبة للتحقق من المشكلة أو إعادة إنتاجها، فستعمل AWS معك للحصول على هذه المعلومات. وبمجرد اكتمال التحقيق الأولي، فسيتم تسليمك النتائج مع وضع خطة للحل ومناقشة الكشف العام.

ومن الأمور التي يجب ملاحظتها حول عملية AWS:

  1. منتجات الجهات الخارجية: يقدم العديد من المورّدين منتجاتهم ضمن سحابة AWS. في حالة اكتشاف أن الثغرة الأمنية تؤثر في منتج خاص بطرف خارجي، فستخطر AWS مالك التقنية المتأثرة. وستواصل AWS التنسيق بينك أنت والطرف الخارجي. ولن يتم كشف هويتك للطرف الخارجي دون الحصول على إذنك.
  2. تأكيد عدم وجود أي ثغرات أمنية: إذا تعذر التحقق من المشكلة، أو لم يتم العثور على مصدرها في أيٍ من منتجات AWS، فستتم مشاركة هذا معك.
  3. تصنيف الثغرات الأمنية: تستخدم AWS الإصدار 3.1 من نظام تسجيل الثغرات الأمنية المشتركة (CVSS) لتقييم الثغرات الأمنية المحتملة. تساعد النتيجة النهائية في تحديد مدى خطورة المشكلة وتحديد أولوياتنا في الرد. لمزيد من المعلومات حول CVSS، يُرجى الرجوع إلى موقع NVD .
اتصل بأحد ممثلي AWS لشؤون الأعمال التجارية
هل لديك استفسارات؟ اتصل بممثل AWS لشؤون الأعمال التجارية
هل تريد استكشاف أدوار الأمان؟
التقديم اليوم »
هل ترغب في تحديثات أمان AWS؟
تابعنا على Twitter »