龙蜥白皮书精选：龙蜥安全漏洞管理体系介绍

文/安全委员会

近日，龙蜥社区联合启明星辰、绿盟、360、阿里云、统信软件、浪潮信息、中兴通讯｜中兴新支点、Intel、中科院软件所等 23 家单位正式成立了龙蜥社区安全联盟（OASA，OpenAnolisSecurityAlliance）。龙蜥社区安全联盟是促进产业合作的非营利组织，致力于打造中立开放、聚焦操作系统信息安全的交流平台，推进龙蜥社区乃至整个产业安全生态的体系化建设。

龙蜥社区已经建立起从漏洞感知、评估，到漏洞修复、披露的全生命周期闭环的安全漏洞管理流程体系。社区针对最新安全威胁进行及时的跟踪与风险评估，制定完备的漏洞修复策略。并依据威胁等级发布安全更新，帮助龙蜥用户及时修复安全漏洞，全面提升系统安全。

01  漏洞感知 

社区通过主动跟踪业界知名漏洞库、安全论坛、邮件列表、安全会议，以及与知名第三方漏洞情报感知服务合作等多种渠道，以保证第一时间感知到 Linux 操作系统相关漏洞信息，并通过建立完备的，覆盖龙蜥全线产品的漏洞库，以保证有效的记录、追踪和闭环每个安全漏洞。

02  漏洞评估 

社区基于业界通用的 CVSS 评分框架，融合龙蜥操作系统成熟的软件包“分层分类”理论，建立起基于风险的安全漏洞管理体系，多维度对漏洞进行威胁风险及严重级别的评估。依据漏洞在实际业务环境中龙蜥产品被利用的风险，来制定具体的漏洞修复策略与应对策略。

03  漏洞修复 

社区完善的漏洞修复与验证流程，安全可信的构建体系和质量管理体系，能够有效地保障安全漏洞在预定的服务时间内完成响应与修复。

04  漏洞披露 

社区秉承对用户负责的漏洞修复与披露原则，在符合业界规范和政策法规的前提下，通过社区官方安全门户发布龙蜥安全公告（ANSA），以及邮件订阅等多种途经，及时向龙蜥用户及下游生态推送漏洞缓解和修复方案与建议，帮助用户及时修复漏洞，减少安全风险。截止目前，社区已经收录的漏洞信息和发布的安全更新对社区开发者和用户全网公开，并形成社区共建能力。

05  龙蜥 CNA 

社区已经成功加入 CVE.org 组织，成为 CVE 编号授权机构。社区积极与合作伙伴展开安全合作，先后发现并申报了多个 Linux 系统相关的 CVE，并为相关漏洞赋予编号。社区也欢迎广大社区爱好者、系统安全领域相关的个人和组织，通过龙蜥社区上报安全漏洞(security@openanolis.org)，共同维护社区安全。

更多龙蜥白皮书精选内容，点击这里查看。

相关链接：

龙蜥安全委员会主页：

https://openanolis.cn/sig/security-committee

龙蜥安全公告（ANSA）：

https://anas.openanolis.cn/errata

更多龙蜥技术特性解析可移步《龙蜥特性百科》：

https://anolis.gitee.io/anolis_features/

2022 龙蜥社区全景白皮书（或公众号【OpenAnolis龙蜥】回复关键字“白皮书”获取）

https://openanolis.cn/openanoliswhitepaper

—— 完 ——