Skip to Content
Go back
BAS-IP / Политика за сигурност

Политика за разкриване на уязвимости

Обща информация

BAS-IP следва водещите в индустрията практики за управление и реагиране на уязвимости в сигурността, открити в нашите продукти. Невъзможно е да се гарантира, че продуктите и услугите, предоставяни от нашата компания, са напълно свободни от уязвимости. Това не е уникална характеристика, а по-скоро общо условие за целия софтуер и услуги, но ние можем да гарантираме, че на всички етапи на разработка ще полагаме усилия за идентифициране и елиминиране на потенциални уязвимости, като по този начин намаляваме риска, свързан с внедряването на продукти и услуги на BAS-IP в клиентски среди.

BAS-IP признава, че някои стандартни мрежови протоколи и услуги могат да имат присъщи слабости, които могат да бъдат експлоатирани. Въпреки че BAS-IP не носи отговорност за тези протоколи и услуги, ние предоставяме препоръки за намаляване на рисковете, свързани с продуктите, софтуера и услугите на BAS-IP, под формата на различни ръководства.

Какво обхваща Политиката

Политиката за управление на уязвимостите, описана в този документ, се отнася за всички продукти, софтуер и услуги под марката BAS-IP.

Какво не обхваща Политиката

Някои уязвимости не са обхванати от политиката за управление на уязвимостите на BAS-IP. Моля, не изпращайте доклади за уязвимости, които не са обхванати от политиката за управление на уязвимостите, на [email protected]:

  • Уязвимости, изискващи високи привилегии и/или социално инженерство, които се задействат/изпълняват с root/администраторски достъп и/или изискват сложно взаимодействие с потребителя
  • Поемане на поддомейн (Subdomain takeover), например, получаване на контрол върху възел, сочещ към услуга, която в момента не се използва
  • Неправилни потребителски конфигурации, които могат да бъдат предотвратени чрез следване на ръководствата на BAS-IP
  • Уязвимости в съдържание или приложения, създадени от трети страни потребители или партньори, като например приложения, които могат да бъдат изтеглени и изпълнени на устройства BAS-IP
  • Уязвимости Cross-Site Request Forgery (CSRF) или Cross-Site Scripting (XSS), които подмамват потребителя да посети злонамерен уебсайт или да кликне върху прикрита връзка при достъп до уеб интерфейса на устройствата BAS-IP
  • Уязвимости на трети страни с отворен код, регистрирани с идентификатор CVE, намиращи се в софтуерни компоненти или пакети, използвани в продукти, софтуер или услуги на BAS-IP. Често срещани примери за такива софтуерни компоненти включват ядрото на Linux, OpenSSL, AOSP и други
  • Липса на HTTP(S) заглавки за сигурност, като например X-Frame-Options
  • Доклади за уязвимости, генерирани от скенери за мрежова сигурност на трети страни
  • Неподдържани продукти/софтуер/услуги
  • Тестове за Отказ от услуга (DoS или DDoS) или други тестове, които нарушават достъпа до системата или данните или причиняват щети на тях

Задължения

BAS-IP цени и насърчава усилията на изследователите за идентифициране и докладване на уязвимости в продуктите, софтуера и услугите на BAS-IP. Следвайки процеса на отговорно разкриване, екипът по сигурността на продуктите на BAS-IP, доколкото е по силите му, ще уважава интересите на изследователите чрез взаимно сътрудничество и прозрачност по време на целия процес на разкриване.

Компания BAS-IP очаква, че изследователите няма да разкриват уязвимости до изтичането на 90-дневния период или взаимно договорена дата и ще провеждат изследвания на уязвимостите в рамките на закона, без да причиняват вреда, да разкриват поверителност или да застрашават сигурността на Компания BAS-IP, нейните партньори и клиенти.

правление на уязвимостите

Компания BAS-IP оценява уязвимостите, използвайки добре известната система за класификация CVSS.

По отношение на уязвимостите на компонентите с отворен код, BAS-IP може да оцени уязвимостта в зависимост от нейното значение в контекста на това как BAS-IP препоръчва внедряването на своите продукти, софтуер и услуги. Консултациите по сигурността обикновено се предоставят само за уязвимости, специфични за BAS-IP.

Приоритетно разпределение, когато дадена уязвимост е оценена и подлежи на отстраняване:

  • CVSS 3.1 high/critical (7.0 – 10.0)
    BAS-IP се стреми да отстрани уязвимостта преди или в рамките на 4 седмици след външно разкриване. За компоненти с отворен код, срокът обикновено е по-дълъг, тъй като BAS-IP зависи от външни страни за информация, корекции и/или проверка
  • CVSS 3.1 medium (4.0 – 6.9)
    BAS-IP цели да отстрани уязвимостта, обикновено в рамките на 2-3 месеца
  • CVSS 3.1 low (0.1 – 3.9)
    BAS-IP планира да отстрани уязвимостта в следващата планирана версия
  • Поддържан софтуер/услуги
    Етапът на поддръжка на софтуера/услугите на BAS-IP се определя в рамките на общия процес на жизнения цикъл на софтуера. Софтуерът/услугите на BAS-IP обикновено се поддържат в продължение на 1 година след обявяването на края на жизнения цикъл (end-of-life).

Докладване на уязвимост

BAS-IP постоянно работи за идентифициране и смекчаване на рисковете, свързани с уязвимости в нашите продукти. Въпреки това, ако сте открили уязвимост в системата за сигурност, свързана с продукт, софтуер или услуга на BAS-IP, силно препоръчваме незабавно да докладвате за проблема. Навременното докладване на уязвимости в системата за сигурност е от решаващо значение за намаляване на вероятността от тяхното практическо използване. Уязвимостите в сигурността, свързани с компоненти на софтуер с отворен код, трябва да се докладват директно на отговорната организация.

Крайните потребители, партньорите, доставчиците, индустриалните групи и независимите изследователи, които са открили потенциална уязвимост, се насърчават да докладват своите констатации на [email protected] или чрез попълване на анонимна форма.

Изпратеният доклад трябва да включва:

  • Техническа информация за потенциалната уязвимост
  • Стъпки за възпроизвеждане
  • Очаквано въздействие и сериозност в случай на експлоатация съгласно CVSS 3.1
  • Собствена политика за разкриване на уязвимости на изследователя, ако има такава

Можете да очаквате следното от Компания BAS-IP:

  • Време за първи отговор — в рамките на 3 работни дни след получаване на първоначалното съобщение
  • Време за обработка (от момента на получаване на първия отговор) — в рамките на 10 работни дни
  • Ние ще бъдем възможно най-прозрачни относно стъпките, които предприемаме в процеса на отстраняване, включително въпроси и проблеми, които могат да забавят решението
  • Ще поддържаме открит диалог за обсъждане на проблеми

Разкриване на информация за уязвимост

След като докладът за открита уязвимост е проучен и потвърден като автентичен, BAS-IP започва процеса на отговорно разкриване. BAS-IP се стреми да си сътрудничи с изследователя относно допълнителни подробности, като например оценка CVSS 3.1, съдържание на препоръката за сигурност и/или прессъобщения (ако е приложимо) и дата на външно разкриване.

След споразумение между Компания BAS-IP и изследователя, уязвимостта ще бъде разкрита за външни цели чрез публикуване на препоръки за сигурност и/или прессъобщение от Компания BAS-IP.

История на промените в документа

ВерсияДатаОписание
1.015.02.2024Първо издание