Amazon Web Services 非常重視安全性,會調查所有舉報的漏洞。本頁面描述解決我們所有雲端服務層面的潛在漏洞的實務做法。

  • Amazon.com 零售網站 – 如果您對 Amazon.com 零售網站、Seller Central、Amazon Payments 有安全方面的疑問或有其他相關問題 (如可疑訂單、信用卡支付無效、可疑電子郵件或漏洞報告),請瀏覽:https://amazon.com/security
  • Amazon Web Services (AWS) – 如果您想舉報漏洞或對 EC2、S3、CloudFront、RDS 等 AWS 雲端服務有安全方面的疑問,請發送電子郵件至 aws-security@amazon.com。如果您要保護電子郵件,可以使用 PGP;我們的金鑰在此處

如果您懷疑 AWS 資源 (例如,EC2 執行個體或 S3 儲存貯體) 正被用於可疑活動,您可以在這裡向 AWS 濫用團隊報告。

請提供任何支援資料 (概念證明代碼、工具輸出等),以便我們更有效地回覆您的報告。這些資料對協助我們了解該漏洞的性質和嚴重性非常有用。

AWS 會對您在此過程中共用的資訊保密。未經您的許可,AWS 不會與第三方共用這些資訊。

AWS 將查看提交的報告,並為其指定一個追蹤編號。然後,我們將回覆您以確認已收到該報告,並概述將要進行的後續步驟。

提交報告後,AWS 將驗證所舉報的漏洞。如果需要其他資訊才能驗證或重現該問題,AWS 將與您合作取得該資訊。完成初期調查後,會將結果發送給您並提供解決問題和公開披露的計劃。

關於 AWS 評估過程的幾個注意事項:

  • 第三方產品。許多供應商在 AWS 雲端中提供產品。如果該漏洞影響第三方產品,AWS 將通知受影響軟體的作者。AWS 將持續在您和第三方之間進行協調。未經您的許可,我們不會將您的身分透露給第三方。
  • 無漏洞確認。如果無法驗證該問題,或者認為它不是 AWS 產品中的漏洞,我們將與您分享該結果。
  • 漏洞分類。AWS 使用 2.0 版本的通用漏洞評分系統 (CVSS) 來評估潛在漏洞。產生的分數有助於量化問題的嚴重性以決定我們的回應順序。如需 CVSS 的詳細資訊,請參閱 CVSS-SIG 公告

AWS 會儘速回覆,並在我們調查和/或減輕您報告的安全問題期間,讓您隨時了解進度。在您初次聯繫之後的 24 小時內將收到一封非自動郵件回覆,確認我們已收到報告的漏洞。您至少每五個工作日都會收到來自我們的進度更新。

如果適用,AWS 將與您協調發送經過驗證的漏洞公開通知。如果可能,我們希望同時發佈各個公開披露的公告。

為了保護我們的客戶,AWS 請求您在我們對報告的漏洞作出研究、回覆和處理及通知客戶 (如有需要) 之前,不要在任何公共場合發佈或分享有關潛在漏洞的任何資訊。同樣請不要發佈或分享屬於我們客戶的任何資料。處理報告的有效漏洞需要花費一些時間。根據漏洞嚴重性和受影響的系統,具體時間有所不同。

AWS 公開通知是以安全公告的形式在 AWS Security Center 公佈。個人、公司和安全團隊一般會在自己的網站和其他論壇上發佈自己的公告,當內容相關時,我們會在 AWS 安全公告中包含這些第三方資源的連結。

 

聯絡我們