Skip to Content
Go back
BAS-IP / Bezpečnostní zásady

Zásady zveřejňování zranitelností

Obecné informace

BAS-IP se řídí předními průmyslovými postupy v řízení a reakci na bezpečnostní zranitelnosti objevené v našich produktech. Není možné zaručit, že produkty a služby poskytované naší společností jsou zcela bez zranitelností. Toto není jedinečná vlastnost, ale spíše běžný stav pro veškerý software a služby, ale můžeme zaručit, že ve všech fázích vývoje budeme vyvíjet úsilí k identifikaci a eliminaci potenciálních zranitelností, čímž snížíme riziko spojené s nasazením produktů a služeb BAS-IP v zákaznických prostředích.

BAS-IP si je vědom, že některé standardní síťové protokoly a služby mohou mít inherentní slabiny, které mohou být zneužity. Ačkoli BAS-IP není zodpovědný za tyto protokoly a služby, poskytujeme doporučení pro snížení rizik spojených s produkty, softwarem a službami BAS-IP ve formě různých průvodců.

Co tato politika pokrývá

Politika řízení zranitelností popsaná v tomto dokumentu se vztahuje na všechny produkty, software a služby pod značkou BAS-IP.

Co tato politika nepokrývá

Některé zranitelnosti nejsou pokryty politikou řízení zranitelností BAS-IP. Prosíme, neposílejte zprávy o zranitelnostech, které nejsou pokryty politikou řízení zranitelností, na adresu [email protected]:

  • Zranitelnosti vyžadující vysoká oprávnění a/nebo sociální inženýrství, které jsou spuštěny/provedeny s root/administrátorským přístupem a/nebo vyžadují komplexní interakci uživatele
  • Převzetí subdomény (Subdomain takeover), například získání kontroly nad uzlem směřujícím na aktuálně nepoužívanou službu
  • Nesprávné konfigurace uživatele, kterým lze předejít dodržováním průvodců BAS-IP
  • Zranitelnosti v obsahu nebo aplikacích vytvořených uživateli nebo partnery třetích stran, jako jsou aplikace, které lze stáhnout a spustit na zařízeních BAS-IP
  • Zranitelnosti Cross-Site Request Forgery (CSRF) nebo Cross-Site Scripting (XSS), které podvedou uživatele k návštěvě škodlivé webové stránky nebo kliknutí na maskovaný odkaz při přístupu k webovému rozhraní zařízení BAS-IP
  • Zranitelnosti třetích stran s otevřeným zdrojovým kódem registrované s identifikátorem CVE, umístěné v softwarových komponentách nebo balíčcích používaných v produktech, softwaru nebo službách BAS-IP. Běžné příklady takových softwarových komponent zahrnují jádro Linux, OpenSSL, AOSP a další
  • Nedostatek bezpečnostních hlaviček HTTP(S), jako je X-Frame-Options
  • Zprávy o zranitelnostech generované skenery síťové bezpečnosti třetích stran
  • Nepodporované produkty/software/služby
  • Testy Odepření služby (DoS nebo DDoS) nebo jiné testy, které narušují přístup k systému nebo datům nebo způsobují jejich poškození

Povinnosti

BAS-IP si váží a povzbuzuje úsilí výzkumníků při identifikaci a hlášení zranitelností v produktech, softwaru a službách BAS-IP. V souladu s procesem odpovědného zveřejňování bude tým pro bezpečnost produktů BAS-IP, v rámci svých možností, respektovat zájmy výzkumníků prostřednictvím vzájemné spolupráce a transparentnosti po celou dobu procesu zveřejňování.

Společnost BAS-IP očekává, že výzkumníci nezveřejní zranitelnosti do uplynutí 90denní lhůty nebo vzájemně dohodnutého data a že budou provádět výzkum zranitelností v zákonných mezích, aniž by způsobili škodu, odhalili důvěrné informace nebo ohrozili bezpečnost Společnosti BAS-IP, jejích partnerů a zákazníků.

Řízení zranitelností

Společnost BAS-IP posuzuje zranitelnosti pomocí dobře známého systému hodnocení CVSS.

Pokud jde o zranitelnosti komponent s otevřeným zdrojovým kódem, BAS-IP může posoudit zranitelnost v závislosti na její významnosti v kontextu toho, jak BAS-IP doporučuje implementovat své produkty, software a služby. Konzultace v oblasti bezpečnosti jsou obvykle poskytovány pouze pro zranitelnosti specifické pro BAS-IP.

Prioritní rozdělení, když byla zranitelnost posouzena a podléhá nápravě:

  • CVSS 3.1 high/critical (7.0 – 10.0)
    BAS-IP se snaží zranitelnost napravit před nebo do 4 týdnů po externím zveřejnění. U komponent s otevřeným zdrojovým kódem je časový rámec obvykle delší, protože BAS-IP je závislý na externích stranách pro informace, opravy a/nebo ověření
  • CVSS 3.1 medium (4.0 – 6.9)
    BAS-IP se snaží zranitelnost napravit, obvykle do 2-3 měsíců
  • CVSS 3.1 low (0.1 – 3.9)
    BAS-IP plánuje napravit zranitelnost v další plánované verzi
  • Podporovaný software/služby
    Fáze podpory softwaru/služeb BAS-IP je určena v rámci celkového procesu životního cyklu softwaru. Software/služby BAS-IP jsou obvykle podporovány po dobu 1 roku po oznámení ukončení životního cyklu (end-of-life).

Hlášení zranitelnosti

BAS-IP neustále pracuje na identifikaci a zmírnění rizik spojených se zranitelnostmi v našich produktech. Nicméně, pokud jste objevili zranitelnost systému bezpečnosti související s produktem, softwarem nebo službou BAS-IP, důrazně doporučujeme, abyste problém okamžitě nahlásili. Včasné hlášení zranitelností systému bezpečnosti je klíčové pro snížení pravděpodobnosti jejich praktického využití. Bezpečnostní zranitelnosti související s komponentami softwaru s otevřeným zdrojovým kódem by měly být hlášeny přímo odpovědné organizaci.

Koncoví uživatelé, partneři, dodavatelé, průmyslové skupiny a nezávislí výzkumníci, kteří objevili potenciální zranitelnost, jsou vyzýváni, aby nahlásili svá zjištění na [email protected] nebo vyplněním anonymního formuláře.

Odeslaná zpráva by měla zahrnovat:

  • Technické informace o potenciální zranitelnosti
  • Kroky k reprodukci
  • Odhadovaný dopad a závažnost v případě zneužití dle CVSS 3.1
  • Vlastní politika zveřejňování zranitelností výzkumníka, pokud existuje

Od Společnosti BAS-IP můžete očekávat následující:

  • Čas první odezvy — do 3 pracovních dnů po obdržení prvotní zprávy
  • Doba zpracování (od okamžiku obdržení první odezvy) — do 10 pracovních dnů
  • Budeme maximálně transparentní ohledně kroků, které podnikáme v procesu nápravy, včetně otázek a problémů, které mohou řešení zpozdit
  • Budeme udržovat otevřený dialog k projednání problémů

Zveřejnění zranitelnosti

Jakmile je zpráva o objevené zranitelnosti prozkoumána a potvrzena jako pravá, BAS-IP zahájí proces odpovědného zveřejňování. BAS-IP se snaží spolupracovat s výzkumníkem ohledně dalších podrobností, jako je posouzení CVSS 3.1, obsah bezpečnostního doporučení a/nebo tiskové zprávy (pokud je relevantní), a datum externího zveřejnění.

Po dohodě mezi Společností BAS-IP a výzkumníkem bude zranitelnost zveřejněna pro externí účely prostřednictvím publikování bezpečnostních doporučení a/nebo tiskové zprávy Společností BAS-IP.

Historie změn dokumentu

VerzeDatumPopis
1.015.02.2024První vydání