Сообщение об уязвимостях

Устранение потенциальных уязвимостей в любой части структуры облачных сервисов

Amazon Web Services уделяет огромное внимание вопросам безопасности и исследует все уязвимости, о которых сообщают клиенты. На этой странице описан порядок сообщения о потенциальных уязвимостях в любой части структуры облачных сервисов AWS.

Сообщение о потенциальных уязвимостях

  • Магазин розничной торговли Amazon.com. Если у вас возникли опасения, связанные с безопасностью таких ресурсов, как интернет-магазин розничной торговли Amazon.com, Seller Central, Amazon Payments, или аналогичные проблемы, например подозрительные заказы, необоснованное списание средств с кредитной карты, подозрительные сообщения электронной почты, а также если вы хотите сообщить об уязвимостях, перейдите нашу на страницу Безопасность облака AWS.
  • Amazon Web Services (AWS). Чтобы сообщить об уязвимости или проблеме безопасности облачных сервисов AWS, свяжитесь с нами по адресу aws-security@amazon.com. Для защиты электронной почты используйте ключ PGP.

Если у вас есть подозрение, что ресурсы AWS (например, инстанс EC2 или корзина S3) используются для запрещенных действий, сообщите об этом в конфликтную комиссию AWS.

Чтобы мы могли эффективно отреагировать на ваше сообщение, просим при этом предоставлять подтверждающие материалы (код, выходные данные программного средства и т. п.), которые помогут нам определить происхождение и серьезность уязвимости.

Информация, сообщаемая вами AWS в рамках данного процесса, является конфиденциальной. Она не может быть передана третьим лицам без вашего разрешения.

AWS ознакомится с вашим отчетом и присвоит ему идентификационный номер. Мы ответим на ваше сообщение, подтвердив получение отчета и наметив последующие действия по решению проблемы.

Оценка AWS

Получив отчет, AWS займется оценкой уязвимости. Если для оценки или воспроизведения проблемы потребуется дополнительная информация, AWS обратится к вам. После выполнения предварительного исследования мы сообщим вам его результаты, предоставим план разрешения проблемы и обнародования информации о ней.

Отметим следующие моменты процесса оценки AWS.

  • Продукты сторонних поставщиков. Многие поставщики предлагают свои продукты для использования в облаке AWS. Если окажется, что уязвимость влияет на работу продукта стороннего поставщика, AWS сообщит об этом создателю данного ПО. AWS продолжит координировать ваши действия с действиями последнего, не разглашая ваших личных данных без вашего на то согласия.
  • Неподтвержденные уязвимости. Если подтвердить наличие проблемы невозможно или если проблема не являлась ошибкой в продукте AWS, мы сообщим вам об этом.
  • Классификация уязвимостей. Для оценки потенциальных уязвимостей в AWS используется версия 2.0 общей системы оценки уязвимостей (CVSS). На основании полученного балла мы определяем уровень серьезности проблемы и ее приоритетность. Подробную информацию о системе CVSS вы найдете на странице описания CVSS-SIG.

AWS будет поддерживать связь с вами и информировать о продвижении процесса исследования и разрешения обнаруженной вами проблемы безопасности. В течение 24 рабочих часов со времени сообщения об уязвимости вы получите индивидуальный ответ с подтверждением получения вашего отчета. Мы будем направлять вам обновленную информацию о продвижении процесса не реже, чем раз в пять рабочих дней.

Публичное оповещение

В тех случаях, когда это применимо, AWS будет согласовывать с вами свои действия по публичному оповещению о подтвержденных уязвимостях. По возможности, информация об одной и той же уязвимости должна публиковаться обеими сторонами одновременно.

Чтобы защитить наших клиентов, компания AWS просит не публиковать и не распространять никакой информации о потенциальных уязвимостях на публично доступных ресурсах до проведения ею исследования уязвимости, принятия мер и при необходимости оповещения клиентов. Просим также не публиковать и не распространять никаких данных, касающихся наших клиентов. Устранение подтвержденной уязвимости занимает некоторое время. Оно зависит от уровня серьезности данной уязвимости и от того, какие системы она затрагивает.

Публичные оповещения AWS в форме бюллетеней по безопасности публикуются в Центре безопасности AWS. Частные лица, компании и отделы безопасности обычно публикуют свои предупреждения об опасности на собственных веб-сайтах или на форумах, и мы включаем ссылки на такого рода сторонние ресурсы в бюллетени по безопасности AWS, когда это уместно.

Связаться с представителем AWS
Есть вопросы? Связаться с представителем AWS
Ищете работу в сфере обеспечения безопасности?
Предложите свою кандидатуру прямо сегодня »
Хотите получать новости по безопасности AWS?
Следите за новостями в Twitter »