Amazon Web Services 对安全问题非常严肃,会调查所有报告的漏洞。本页描述我们处理任何云服务方面的潜在漏洞的实践。

  • Amazon.com 零售网站 – 如果您对 Amazon.com 零售网站、Seller Central、Amazon Payments 有安全方面的疑问或有其他相关问题(如可疑订单、信用卡支付无效、可疑电子邮件或报告漏洞,请访问 https://amazon.com/security
  • Amazon Web Services (AWS) – 如果您想报告漏洞或对 EC2、S3、CloudFront、RDS 等 AWS 云服务有安全方面的疑问,请发送电子邮件至 aws-security@amazon.com。如果您要保护电子邮件,可以使用 PGP;我们的密钥在此处

如果您怀疑 AWS 资源(例如,EC2 实例或 S3 存储桶)正被用于可疑活动,您可以在这里向 AWS 滥用响应团队举报

请提供任何支持资料(概念验证代码、工具输出等),以便我们更高效地回复您的报告。这些资料对于帮助我们了解该漏洞的特性和严重性非常有用。

AWS 会对您在此过程中共享的信息保密。未经您的许可,AWS 不会与第三方共享这些信息。

AWS 将查看提交的报告,并为其指定一个追踪编号。然后,我们将回复您,确认已收到该报告,并概述将要进行的后续步骤。

提交报告后,AWS 将验证所报告的漏洞。如果需要其他信息才能验证或重现该问题,AWS 将从您这里获得该信息。完成初期调查后,将向您发送结果以及解决问题和公开披露的计划。

关于 AWS 评估过程的几个注意事项:

  • 第三方产品。许多供应商在 AWS 云中提供产品。如果该漏洞影响第三方产品,AWS 将通知受影响软件的作者。AWS 将继续在您和第三方之间进行协调。没有您的允许,我们不会将您的身份透露给第三方。
  • 无漏洞确认。如果我们无法验证该问题,或者认为它不是 AWS 产品中的漏洞,将与您分享该结果。
  • 漏洞分类。AWS 使用 2.0 版本的通用漏洞评分系统 (CVSS) 来评估潜在漏洞。生成的分数有助于量化问题的严重性以及决定我们的响应顺序。有关 CVSS 的详细信息,请参见 CVSS-SIG 公告

AWS 承诺会尽快回应报告,并在我们调查和/或减轻您报告的安全问题期间始终让您知道我们的进度。在您初次联系之后的 24 小时内,您将收到一封非自动邮件回复,确认我们已收到报告的漏洞。您至少每五个工作日都会收到来自我们的进度更新。

如果适用,AWS 将向您发送经过验证的漏洞的公开通知。如果可能,我们希望同时发布各个公开披露的公告。

为了保护我们的客户,AWS 请求您在我们对报告的漏洞和知情客户(如果需要)作出研究、回复和处理之前,不要在任何公共场合发布或分享有关潜在漏洞的任何信息。同样请不要发布或分享属于我们客户的任何数据。处理报告的有效漏洞需要花费一些时间。根据漏洞严重性和受影响的系统,具体时间有所不同。

AWS 公开通知是以安全公告的形式在 AWS 安全中心公布的。个人、公司和安全团队一般会在自己的网站和其他论坛上发布他们自己的公告,当内容相关时,我们会在 AWS 安全公告中包含指向这些第三方资源的链接。

 

联系我们