故障现象：

漏洞公开策略

Lenovo 致力于提供安全可靠的产品和服务。发现漏洞后，我们会努力研究并解决问题。本文将介绍 Lenovo 产品和服务中相关潜在安全漏洞的上报接收政策，以及为客户提供已核实漏洞的标准做法。

解决方案：

何时联系产品安全事件响应团队（PSIRT）

如果您发现我们的某种产品可能存在安全漏洞，请发送电子邮件到 psirt@lenovo.com 以联系 Lenovo 产品安全事件响应团队（PSIRT）。收到您的事件报告后，相应人员将会与您取得联系以进行跟进。

为确保机密性，我们建议您对通过电子邮件发送给我们的任何敏感信息进行加密。我们能够收到使用 OpenPGP 加密的电子邮件。您可以从我们的安全公告页面获取可用于发送加密电子邮件的公钥副本。

psirt@lenovo.com 电子邮件地址仅用于报告产品或服务的安全漏洞，不用于我们产品或服务的技术支持信息。除了特定于我们产品或服务的安全漏洞之外的所有其他内容都将被忽略。如有技术和客户支持问题，请点击此处。

Lenovo 将尽量在 5 个工作日内确认接收所有提交的报告。

接收来自 Lenovo 的安全信息

我们的安全网站发布了关于我们产品和服务的安全公告的技术信息。大多数情况下，我们会在确定针对特定安全漏洞的解决方法后或修补程序时发布通知，但是我们也有可能在该漏洞已被安全社区广泛知晓但缺乏解决方法时发布通知。

由于每个安全漏洞的具体情况不同，Lenovo 会基于事实处理每个漏洞。举例来说，Lenovo 可能会也可能不会针对每个案例发布安全公告。

如果某个产品未被列在公告中，这并不表示它未受到影响。如果您需要了解某个未列出产品的状态，请将您的问题发送至 psirt@lenovo.com。如果您的产品受到影响，我们会展开进一步调查，但这并不表示能够立刻提供解决方案。

如果被第三方告知 Lenovo 的产品可能存在漏洞，Lenovo 将展开调查并可能与该第三方合作以披露该漏洞。在某些情况下，Lenovo 可能会收到某供应商根据保密或禁止披露协议发来的关于安全漏洞的信息。在这些情况下，Lenovo 将无法提供关于该安全漏洞的详情，但是会与该供应商合作请求发布安全修补程序。

重要性

通用漏洞评分系统（CVSS）提供了开放的框架，便于沟通 IT 漏洞的特征和影响。CVSS 包括三个组：基本组、现状组和环境组。每个组都会生成一个从 0 到 10 的数字分数和一个矢量，矢量是一种压缩的文本形式，可反映得出分数所使用的值。基本组可表示漏洞的内在本质。现状组可反映漏洞随时间变化的特征。环境组可表示任何用户环境特有的漏洞的特征。 借助 CVSS，IT 经理、漏洞公告提供方、安全供应商、应用程序供应商和研究人员都能通过采用通用的 IT 漏洞评分语言而受益。有关 CVSS 的更多信息，请点击此处进入了解。

该系统将 CVSS 基本分数（如果已知）与定性评级“关键”、“高”、“中”和“低”一一对应，以便提供可能更容易被不熟悉 CVSS 的人们所认可的重要性信息。有关其他信息，请参阅我们的重要性对照页面和国家漏洞数据库。

在某些情况下，Lenovo 可能会发布仅供参考的公告并将其归类为参考性公告。

描述

安全公告将对漏洞进行明确解释，包括其名称、形成原因及其他可用信息。公告还将提供与漏洞相关的已知威胁（例如，存在可攻击漏洞或概念验证代码以及事件活动的讨论或证据）的信息，并将介绍修补漏洞的潜在/预期结果。

产品影响

一般而言，安全公告包括一个 Lenovo 产品列表，这些产品带有“受到影响”、“未受影响”或“正在研究”的状态说明。受影响的产品将包括一个链接，该链接指向可通过 Lenovo 支持站点（所有更新都在此维护）下载的修补程序，或者包括推荐的解决方法和/或修复的目标日期。如果漏洞特定于某个特定的产品系列，Lenovo 将只提供受影响产品的列表。有时，Lenovo 可能认为有必要在完成对所有产品的影响评估之前发布安全公告。在这种情况下，将显示“正在研究”的状态。建议客户访问安全公告以随时了解我们的状态。

解决方案

对于产品漏洞，公告将提供关于如何获取修补程序或安全补丁的信息。在某些情况下，Lenovo 可能会建议客户采取某种解决方法，以便通过操作或在不应用安全修补程序或补丁的情况下以某种方式限制使用受影响的使用中产品来保护这些产品。

参考

如果发布了有关漏洞的更多信息，公告将提供链接作为参考。这包括 CVE 或博客或文章的链接。

致谢

在某些情况下，Lenovo 可能会在征得同意的前提下对漏洞的发现者表示感谢。

修订历史

当公告更新时，修订历史将显示修订内容及时间。

该流程的所有方面如有变动，将不做另行通知或逐件例外分析。不保证针对任何具体问题或问题类型提供特定的响应级别。