漏洞响应和处理

与华为传统ICT 业务相比，华为云拥有更完整的网络配置信息和设备操作权。再结合华

为云采用的 DevOps/DevSecOps 流程，使得华为云在漏洞修复上能做到更快速、更直接

的持续集成、持续部署。

华为云已建立起从漏洞感知到现网修复的端到端漏洞响应工单系统，此系统会自动接收

来自 PSIRT、在线扫描工具等众多漏洞收集渠道提交的漏洞，并自动根据漏洞的严重程

度确定处理优先级，从而明确对应的漏洞修复 SLA 要求。对于重大安全漏洞，安全运

维团队可通过自研工具，对现网进行扫描，实现分钟级的受影响服务和模块的范围界定；

同时安全运维团队会根据现网情况，通过修改配置文件、制定 WAF 规则、甚至暂停服

务等方式对受影响的服务进行防护或隔离，以降低漏洞被利用的风险。对于需要通过版

本、补丁修复的漏洞，通过灰度发布或蓝绿部署等方式尽量减少对租户业务造成影响。

华为采用业界最佳实践 CVSS（Common Vulnerability Scoring System）对漏洞进行严重

级别的评估，并结合漏洞在华为云中被利用的风险评估结果决定处理优先等级。同时考

虑到华为云直接面向最终用户提供服务，面临着更大的互联网攻击风险，因此在漏洞评

估严重级别时增加了服务是否面向互联网（ETI – Exposed to Internet）的判断依据。综合

考量，最终制定漏洞修复的 SLA 要求。

漏洞修复传统常见手段包括系统安全加固、配置调整、补丁部署等。对华为云而言，在

基础设施层的漏洞修复类似于传统 IT，尤其针对网络设备的漏洞修复，大多数情况都

是在生产环境中实现，对技术性能和业务连续会造成或多或少的影响。而对平台层和应

用层的漏洞修复，更多是通过操作系统镜像管理和容器管理实现的。漏洞修复在开发阶

段完成，通过镜像和容器的滚动升级部署到生产环境，不会对租户业务造成影响。同理，

租户在平台层和应用层的自身漏洞也可采用类似手段在其租户空间内完成修复。