嗨，大家好！

作者：Adrian Stone，EA 產品安全性高級總監

最近我們在  EA 安全性網站啟動了我們的漏洞產品安全性漏洞報告計畫。到目前為止，這一過程的收穫極為豐厚和令人震撼，我們要特別感謝安全社群中的研究人員，他們加入我們的行列，確保我們的玩家、遊戲和基礎設施的安全。隨著我們繼續投資並發展可確保遊戲生態系統安全的方法，與研究人員的合作會繼續成為中心宗旨。

那麼現在我為什麼寫下這些文字給您？ 

透過與安全性研究社群的互動，我們學習到很多東西，並對收到的每份報告進行調查。我們所瞭解到的一件事是，與大型安全性社群以及對安全性工程問題感興趣的遊戲玩家進行交流是非常重要的。因此，我們決定建立一個新的交流機制，就是 EA 安全性部落格。我們也在努力建立與客戶交流的其他方式，這些服務可供使用時會在部落格報告最新情況。

在此我也要厚臉皮的插入一段廣告：你們是最棒的， 我們正在招聘這樣的人才！ 我們的 EA 安全性團隊負責因應企業安全性的多種安全領域範圍，保護 EA 的企業系統避免遭受惡意攻擊和入侵，以及負責產品安全性工程以確保 EA 的遊戲和線上服務在整個開發生命週期中安全無虞。當然，發生的威脅會隨著時間而變化，因此我們擁有公司和產品安全性緊急因應團隊，應對會影響公司或玩家的新興威脅。

在我們的漏洞報告計畫的初期階段，幾乎都會被問到兩個問題，在此我想與大家分享。  

1) EA 如何確定安全性影響？

我們使用兩種方式來決定問題的嚴重程度。第一種方式是在業界普獲認可的 CVSS 評分系統。第二種是使用從「嚴重」到「低」的 4 級分類方式。「嚴重」這個最嚴厲的分類，指僅需很少或無須使用者互動即可成功利用該漏洞的問題。「嚴重」程度的問題，玩家或其裝置在使用預設配置下很容易遭受到攻擊，且遠端攻擊者可在玩家不知情的情況下利用該問題。根據這樣的基礎，我們考慮了攻擊者為利用漏洞而必須克服的障礙，對其餘三個類別（重要、中等、低）進行劃分。用最簡單的方式來說，攻擊者利用漏洞必須克服的挑戰越多，嚴重性就越低。

2) EA 如何對報告的問題進行分類？

對於安全性影響評級來說，答案很簡單：我們使用在業界普獲認可的 STRIDE 安全性模型。這是一種可以清楚列出漏洞影響的分類模型。當我們收到有關潛在安全性問題的報告時，安全性團隊成員會對問題進行分類，這是我們調查過程的第一步。如果該問題符合進一步調查的標準，則會指派一名安全工程師與 EA 中的技術所有者合作，來解決該問題。在調查期間，也會指定安全性影響和嚴重性評級。

我非常高興能與社群協力合作，造福整個遊戲生態系統。時刻留意更多資訊。

- A

Adrian Stone