关于阳光电源 PSIRT

阳光电源产品安全事件响应团队（PSIRT）是一个专门负责接收、调查和披露阳光电源产品安全漏洞的团队。阳光电源将漏洞定义为可被利用的安全问题，一旦被攻击者利用，可能会危及产品的完整性、可用性或机密性。漏洞不等同于质量缺陷。质量缺陷是在某些条件下被触发的，且不会被攻击者利用；而漏洞必须先被攻击者利用，随后才会被触发。

阳光电源 PSIRT 作出如下承诺：

我们使用 IEC 62443-4-1 来管理其安全管理和开发流程。

我们采取措施降低产品和服务中的漏洞，以减少或消除由阳光电源产品/服务漏洞给客户/用户造成的危害和安全风险。

在发现产品和服务中的漏洞后，我们会及时向客户/用户提供风险缓解措施。

我们积极识别漏洞管理责任和要求（包括适用的经营法律/法规、合同要求以及适用的公共标准），并建立体系主动管理漏洞。
我们将继续优化漏洞管理流程和标准，学习行业标准和最佳实践，不断提升我们的漏洞管理成熟度。

报告疑似漏洞

阳光电源支持负责任的漏洞披露和处理流程，并鼓励安全研究人员、行业组织、客户和供应商将疑似的阳光电源产品漏洞报告给 Sungrow PSIRT。如果您发现了漏洞，可以将漏洞描述（包括具体产品型号、软件版本等）发送至psirt@sungrowpower.com并留下您的联系方式。一般情况下，您会在提交后 1 个工作日内收到确认邮件；在 7 个工作日内收到验证邮件。随后，我们将在漏洞处理过程中持续向您更新最新进展。

在整个漏洞处理过程中，我们的 PSIRT 严格确保漏洞信息仅在相关处理人员之间传递。我们真诚地希望您在完整解决方案可供客户使用之前对相关信息予以保密。我们将根据法律合规要求采取必要且合理的措施保护所获取的数据。除非法律或受影响客户另有要求，否则我们不会主动与他人共享或披露这些数据。

漏洞响应流程：

在收到任何疑似漏洞后，我们的 PSIRT 将与相关产品团队合作，对该漏洞进行分析/验证，根据其对产品的实际影响评估严重性，确定修复优先级，并制定修复措施（包括缓解措施、补丁/版本以及客户可实施的其他风险缓解措施）。

当在产品开发、交付和部署过程中发现供应商所提供的产品或服务中存在漏洞时，我们会主动联系供应商进行漏洞修复。