En

[TPSA19-24]上线公告丨腾讯“TSRC安全情报平台”正式发布

公告编号:TPSA19-24公告来源:TSRC发布日期:2019-12-06

分享

兵马未动,情报先行!

黑客攻防博弈的战场,同样是一场情报的比拼大战。从众多黑客入侵攻击的公开案例看,大多数是因公开漏洞未修复而导致遭黑客利用入侵。第一时间升级软件修复已知漏洞,可能是关乎企业生与死的事情。

及时升级软件的前提是及时感知官方更新信息。但目前世面上并没有汇聚各类软件官方安全更新公告的公开平台,而且如果企业独立开发一套全面的安全情报感知系统,工作量是非常大的。

为解决广大企业上述困境,TSRC团队基于内部主动式感知安全情报平台十余年技术实力,正式对外发布“TSRC安全情报平台”,为众多安全从业者、程序开发者提供免费、快速、便捷、高效的安全更新感知系统,欢迎大家免费订阅,及时获取最新的软件安全更新通知,争分夺秒升级软件或安装补丁,防止黑客攻击。

从2007年起,TSRC团队自主研发了主动式感知安全情报平台,保障腾讯公司第一时间感知到第三方软件官网发布的更新信息以及被在互联网公开的安全问题,能够及时升级软件和完善防护策略,有效防止黑客攻击。

而今,我们将安全情报感知能力外放,助力行业生态发展。同时,我们诚邀业界同仁共同建设安全情报感知平台,打造安全情报共享生态,为互联网安全发展贡献一份力量。

以下为“TSRC安全情报平台”详细介绍:


一、目前覆盖范围


“TSRC安全情报平台”目前已经感知100多个常用软件的官方安全更新公告,并且正在陆续增加中,覆盖CPU处理器、网络设备、操作系统、虚拟化、容器、数据库、开发语言、中间件、组件等。

诚邀大家协同共建安全情报感知平台(详见下文“如何参与协同共建”),让我们一起更快速更全面更便捷的感知安全情报。 


二、情报感知速度


“TSRC安全情报平台”每10分钟自动分析一次官方更新页面,发现安全更新(或者疑似安全更新)立即同步至https://security.tencent.com/ti,并立即通过tsrc-noreply@tencent.com将信息推送至已订阅情报的邮箱。 


三、如何订阅情报


通过如下操作,可完成情报订阅:
1. 访问“https://security.tencent.com/index.php/user/info”填写基本信息的“电子邮箱”;
2. 访问“https://security.tencent.com/ti”点击“邮件订阅”;
3. 收到成功订阅的邮件提醒。 


四、目前进程及后续计划


“TSRC安全情报平台”目前已经开放“软件安全更新”版块,展示相关软件最近一次或多次的官方更新。下一步,TSRC团队将通过如下方式,让情报信息更加丰富全面。

1. 建立微信、QQ交流群交流社群,加强与协同共建参与者的沟通交流。
2. 开放“软件漏洞”版块,包含CVE、CNVD、CNNVD等漏洞库信息。
3. 开放“安全资讯”版块,包含漏洞通告、漏洞分析、技术文章、安全新闻等信息。 


五、如何参与协同共建?


TSRC团队欢迎通过如下方式,参与安全情报平台的协同共建。

1. 转发给更多的互联网从业者了解使用和参与建设。
2. 在详情页进行评论,贡献自己对相关安全更新的看法(如漏洞风险情况)和建议(如信息准确性),或提供业界相关资讯文章链接。
3. 提供你想要感知的软件信息,内容包括软件名称、官方网址、软件描述、业界使用情况、官方安全更新网址等,提交至邮箱security@tencent.com。我们将根据软件的广泛使用程度来排期编写情报感知程序。
4. 编写情报感知程序,提交至邮箱security@tencent.com。一经采用,你的名字将出现在情报详情页“情报贡献”列表。
5.更多方式等待大家一起探讨交流。 


六、如有问题,如何联系?


TSRC官方邮箱:security@tencent.com
安全情报平台相关问题,欢迎通过邮箱联系我们,进行沟通交流。 


七、 详情页相关内容注释:


1. 发布日期:官方当地发布更新的时间,精确到天。
请注意,如果官方页面有显示时间,那么我们从页面中提取时间,由于时区问题,有可能显示为非北京时间;如果官方页面没有时间,那么我们统一显示为当天北京时间。

2. 感知时间:安全情报平台感知到情报的时间,精确到秒。

3. 更新类型:“安全更新”或“普通更新”。
软件官方有专门的安全更新页面的,可确认为安全更新;没有安全更新页面的,通过匹配版本更新描述中是否存在cve、security、vulnerability等关键词来确定更新类型。若未匹配到,则判定为普通更新。
请注意,有些软件即便有安全问题,也不会在更新描述中主动说明。我们建议,对于普通更新也请跟进了解。当然如果该软件有统一的安全更新说明,我们不会再展示普通更新。

4. 风险等级:从官方页面描述中提取。
5. 更新版本:从官方页面描述中提取。
6. 情报贡献:安全情报感知程序的编写者。
7. 来源链接:这条情报的来源,方便大家访问原始更新页面。
8. 更新标题:从官方页面描述中提取或我们自定义。
9. 更新详情:从官方页面描述中提取。
10. 软件描述:简单介绍软件,从搜索引擎检索提取。
11. CVE编号:从官方页面描述中提取。
12. TSRC分析:对于重要漏洞,TSRC计划输出分析情况,给大家呈现更全面的信息。
13. 业界资讯:对于重要漏洞,TSRC计划录入业界资讯链接,给大家呈现更全面的信息。
14. 评论:在合法合规基础上,欢迎大家自由对该安全更新进行评论交流。