5.8 系统安全
5.8.1 龙蜥操作系统漏洞管理
龙蜥社区已经建立起从漏洞感知、评估,到漏洞修复、披露的全生命周期闭环的安全漏洞管理流程体系。社区针对最新安全威胁进 行及时的跟踪与风险评估,制定完备的漏洞修复策略。并依据威胁等级发布安全更新,帮助龙蜥用户及时修复安全漏洞,全面提升 系统安全。
漏洞感知
社区通过主动跟踪业界知名漏洞库、安全论坛、邮件列表、安全会议,以及与知名第三方漏洞情报感知服务合作等多种渠道,以保 证第一时间感知到Linux操作系统相关漏洞信息。并通过建立完备的,覆盖龙蜥全线产品的漏洞库,以保证有效的记录、追踪和闭环 每个安全漏洞。
漏洞评估
社区基于业界通用的CVSS评分框架,融合龙蜥操作系统成熟的软件包分层分类理论,建立起基于风险的安全漏洞管理体系,多维度对漏洞进行威胁风险及严重级别的评估。依据漏洞在实际业务环境中龙蜥产品被利用的风险,来制定具体的漏洞修复策略与应对策略。
漏洞修复
社区完善的漏洞修复与验证流程,安全可信的构建体系和质量管理体系,能够有效地保障安全漏洞在预定的服务时间内完成响应与修复。
漏洞披露
社区秉承对用户负责的漏洞修复与披露原则,在符合业界规范和政策法规的前提下,通过社区官方安全门户发布龙蜥安全公告(ANSA),以及邮件订阅等多种途经,及时向龙蜥用户及下游生态推送漏洞缓解和修复方案与建议,帮助用户及时修复漏洞,减少安全风险。截止目前,社区已经收录的漏洞信息和发布的安全更新对社区开发者和用户全网公开,并形成社区共建能力。
龙蜥社区CNA
社区已经成功加入CVE.org组织,成为CVE编号授权机构。社区积极与合作伙伴展开安全合作,先后发现并申报了多个Linux系统相关的CVE,并为相关漏洞赋予编号。社区也欢迎广大社区爱好者、系统安全领域相关的个人和组织,通过龙蜥社区上报安全漏洞(security@openanolis.org),共同维护社区安全。
