漏洞報告

解決我們的雲端服務方方面面的潛在漏洞

Amazon Web Services 非常重視安全性,會調查所有舉報的漏洞。本頁面描述解決我們所有雲端服務層面的潛在漏洞的實務做法。

舉報可疑的漏洞

  • Amazon Web Services (AWS)︰若您想舉報漏洞或對 AWS 雲端服務或開放原始碼專案有安全方面的疑問,請傳送電子郵件至 aws-security@amazon.com。若您想要保護電子郵件,可以使用我們的 PGP 金鑰
  • 適用於滲透測試的 AWS 客戶支援政策:歡迎 AWS 客戶對其 AWS 基礎架構進行安全評估或滲透測試,無需事先取得所列服務的核准。請求其他模擬事件的授權應透過模擬事件表單提交。如果是在 AWS 中國 (寧夏和北京) 區域營運的客戶,請使用此模擬事件表單
  • AWS 濫用:如果您懷疑 AWS 資源 (例如,EC2 執行個體或 S3 儲存貯體) 正被用於可疑活動,您可以使用報告 Amazon AWS 濫用表單或透過 abuse@amazonaws.com 向 AWS 濫用團隊報告。
  • AWS 合規資訊:可以透過 AWS Artifact 存取 AWS 合規報告。如果您還有其他與 AWS 合規相關的問題,請透過意見表格與他們聯繫。
  • Amazon.com (零售網站)︰若您對 Amazon.com (零售網站)、Seller Central、Amazon Payments 有安全方面的疑問或有其他相關問題 (如可疑訂單、信用卡支付無效、可疑電子郵件或漏洞報告),請瀏覽:零售安全網頁。

請提供任何支援資料 (概念證明代碼、工具輸出等),以便我們更有效地回覆您的報告。這些資料對協助我們了解該漏洞的性質和嚴重性非常有用。

AWS 會對您在此過程中分享的資訊保密。僅當發現您報告的漏洞影響第三方產品時,AWS 才會與第三方共享此資訊,在這種情況下,我們將與第三方產品的作者或製造商分享此資訊。否則,AWS 將僅在您允許的情況下分享此資訊。

AWS 將查看提交的報告,並為其指定一個追蹤編號。然後,我們將回覆您以確認已收到該報告,並概述將要進行的後續步驟。

AWS 的評估 SLA

AWS 會儘速回覆,並在我們調查和/或減輕您報告的安全問題期間,讓您隨時了解進度。在您初次聯繫之後的 24 小時內將收到一封非自動郵件回覆,確認我們已收到報告的漏洞。您至少每五個工作日都會收到來自 AWS 的進度更新。

公開通知

如果適用,AWS 將與您協調傳送任何經過驗證的漏洞公開通知。如果可能,我們希望同時發佈各個公開披露的公告。

為了保護我們的客戶,AWS 請求您在我們對報告的漏洞作出研究、回覆和處理及通知客戶 (如有需要) 之前,不要在任何公共場合發佈或分享有關潛在漏洞的任何資訊。同樣請不要發佈或分享屬於我們客戶的任何資料。解決一個報告的有效漏洞將需要時間,並且需要的時間將取決於漏洞的嚴重程度和受影響的系統。

AWS 公開通知是以安全公告的形式在 AWS Security 網站公佈。個人、公司和安全團隊一般會在自己的網站和其他論壇上發佈自己的公告,當內容相關時,我們會在 AWS 安全公告中包含這些第三方資源的連結。 

安全港

AWS 認為,應該為誠實進行的安全研究提供安全港。在遵循以下條件的前提下,我們已採用 Disclose.io 的核心條款,並且我們期待與安全研究人員合作,共同致力於保護 AWS 客戶。

範圍

以下活動不在 AWS 漏洞報告計劃的範圍內。進行以下任何活動均將永久取消該參與計劃的資格。

  1. 以我們基礎設施上託管的 AWS 客戶或非 AWS 網站的資產為目標
  2. 透過破壞 AWS 客戶或員工帳戶而獲得的任何漏洞
  3. 針對 AWS 產品或 AWS 客戶的任何拒絕服務 (DoS) 攻擊
  4. 針對 AWS 員工、辦公室和資料中心的實體攻擊
  5. 針對 AWS 員工、承包商、供應商或服務提供商的社交工程
  6. 故意發佈、傳輸、上傳、連結或傳送惡意軟體
  7. 尋求傳送來路不明的批量訊息 (垃圾郵件) 的漏洞

披露政策

提交報告後,AWS 將驗證所舉報的漏洞。如果需要其他資訊才能驗證或重現該問題,AWS 將與您合作取得該資訊。完成初期調查後,會將結果發送給您並提供解決問題的計劃和討論公開披露。

關於 AWS 過程的幾個注意事項:

  1. 第三方產品︰許多供應商在 AWS 雲端中提供產品。如果該漏洞影響第三方產品,AWS 將通知受影響技術的擁有者。AWS 將持續在您和第三方之間進行協調。未經您的許可,我們不會將您的身分透露給第三方。
  2. 無漏洞確認︰若無法驗證該問題,或者發現它不是來自 AWS 產品中的漏洞,我們將與您分享該結果。
  3. 漏洞分類︰AWS 使用 3.1 版本的通用漏洞評分系統 (CVSS) 來評估潛在漏洞。產生的分數有助於量化問題的嚴重性以決定我們的回應順序。有關 CVSS 的更多資訊,請參考 NVD 網站
聯絡 AWS 業務代表
有問題? 聯絡 AWS 業務代表
探索安全職缺?
立即申請 »
需要 AWS 安全更新?
在 Twitter 上關注我們 »