Skip to Content
Go back
BAS-IP / Sikkerhedspolitik

Politik for oplysning om sårbarheder

Generel Information

BAS-IP følger brancheførende praksisser i håndtering og reaktion på sikkerhedssårbarheder, der opdages i vores produkter. Det er umuligt at garantere, at produkter og tjenester leveret af vores virksomhed er fuldstændig fri for sårbarheder. Dette er ikke en unik funktion, men snarere en fælles betingelse for al software og tjenester, men vi kan garantere, at vi på alle udviklingsstadier vil bestræbe os på at identificere og eliminere potentielle sårbarheder og derved reducere den risiko, der er forbundet med implementering af BAS-IP produkter og tjenester i kundemiljøer.

BAS-IP anerkender, at nogle standard netværksprotokoller og tjenester kan have iboende svagheder, der kan udnyttes. Selvom BAS-IP ikke er ansvarlig for disse protokoller og tjenester, giver vi anbefalinger til at reducere risici forbundet med BAS-IP produkter, software og tjenester i form af forskellige vejledninger.

Hvad Politikken dækker

Politikken for sårbarhedshåndtering beskrevet i dette dokument gælder for alle produkter, software og tjenester under BAS-IP mærket.

Hvad Politikken ikke dækker

Nogle sårbarheder er ikke omfattet af BAS-IPs politik for sårbarhedshåndtering. Send venligst ikke sårbarhedsrapporter, der ikke er dækket af politikken for sårbarhedshåndtering, til [email protected]:

  • Sårbarheder, der kræver høje privilegier og/eller social engineering, som udløses/udføres med root/administratoradgang og/eller kræver kompleks brugerinteraktion
  • Overvågning af underdomæner (Subdomain takeover), f.eks. opnåelse af kontrol over en node, der peger på en aktuelt ubrugt tjeneste
  • Forkerte brugerkonfigurationer, der kan forhindres ved at følge BAS-IP vejledninger
  • Sårbarheder i indhold eller applikationer skabt af tredjepartsbrugere eller partnere, såsom applikationer, der kan downloades og køres på BAS-IP enheder
  • Cross-Site Request Forgery (CSRF) eller Cross-Site Scripting (XSS) sårbarheder, der narre brugeren til at besøge en ondsindet hjemmeside eller klikke på et forklædt link ved adgang til BAS-IP-enheders webinterface
  • Tredjeparts open source sårbarheder registreret med en CVE-identifikator, placeret i softwarekomponenter eller pakker, der anvendes i BAS-IP produkter, software eller tjenester. Almindelige eksempler på sådanne softwarekomponenter inkluderer Linux-kernen, OpenSSL, AOSP og andre
  • Mangel på HTTP(S) sikkerhedshoveder, såsom X-Frame-Options
  • Sårbarhedsrapporter genereret af tredjeparts netværkssikkerhedsscannere
  • Ikke-understøttede produkter/software/tjenester
  • Netværks Denial of Service (DoS eller DDoS) tests eller andre tests, der forstyrrer adgangen til systemet eller data eller forårsager skade på dem

Forpligtelser

BAS-IP værdsætter og opmuntrer forskernes indsats for at identificere og rapportere sårbarheder i BAS-IP produkter, software og tjenester. I henhold til processen for ansvarlig offentliggørelse vil BAS-IPs produktsikkerhedsteam, efter bedste evne, respektere forskernes interesser gennem gensidigt samarbejde og gennemsigtighed gennem hele offentliggørelsesprocessen.

Virksomheden BAS-IP forventer, at forskere ikke vil offentliggøre sårbarheder før udløbet af 90-dages perioden eller en gensidigt aftalt dato og vil udføre forskning i sårbarheder inden for lovlige rammer, uden at forårsage skade, afsløre fortrolighed eller bringe sikkerheden for Virksomheden BAS-IP, dens partnere og kunder i fare.

Sårbarhedshåndtering

Virksomheden BAS-IP vurderer sårbarheder ved hjælp af det velkendte CVSS klassifikationssystem.

Hvad angår open source komponenters sårbarheder, kan BAS-IP vurdere sårbarheden afhængigt af dens betydning i sammenhæng med, hvordan BAS-IP anbefaler at implementere sine produkter, software og tjenester. Sikkerhedskonsultationer leveres normalt kun for sårbarheder, der er specifikke for BAS-IP.

Prioritetsfordeling, når en sårbarhed er blevet vurderet og er genstand for afhjælpning:

  • CVSS 3.1 high/critical (7.0 – 10.0)
    BAS-IP stræber efter at afhjælpe sårbarheden før eller inden for 4 uger efter ekstern offentliggørelse. For open source komponenter er tidsrammen normalt længere, da BAS-IP er afhængig af eksterne parter for information, rettelser og/eller verifikation
  • CVSS 3.1 medium (4.0 – 6.9)
    BAS-IP sigter mod at afhjælpe sårbarheden, typisk inden for 2-3 måneder
  • CVSS 3.1 low (0.1 – 3.9)
    BAS-IP planlægger at afhjælpe sårbarheden i den næste planlagte udgivelse
  • Understøttet software/tjenester
    Supportfasen for BAS-IP software/tjenester bestemmes inden for den overordnede software livscyklusproces. BAS-IP software/tjenester understøttes normalt i 1 år efter annonceringen om end-of-life (produktets livscyklus afslutning).

Rapportering af en sårbarhed

BAS-IP arbejder konstant på at identificere og mindske risici forbundet med sårbarheder i vores produkter. Men hvis du har opdaget en sårbarhed i sikkerhedssystemet relateret til et produkt, software eller en tjeneste fra BAS-IP, anbefaler vi kraftigt, at du straks rapporterer problemet. Rettidig rapportering af sårbarheder i sikkerhedssystemet er afgørende for at reducere sandsynligheden for deres praktiske udnyttelse. Sikkerhedssårbarheder relateret til open source softwarekomponenter skal rapporteres direkte til den ansvarlige organisation.

Slutbrugere, partnere, leverandører, branchegrupper og uafhængige forskere, der har opdaget en potentiel sårbarhed, opfordres til at rapportere deres fund til [email protected] eller ved at udfylde en anonym formular.

Den indsendte rapport skal indeholde:

  • Teknisk information om den potentielle sårbarhed
  • Trin til at reproducere
  • Anslået indvirkning og alvorlighed i tilfælde af udnyttelse i henhold til CVSS 3.1
  • Forskerens egen politik for offentliggørelse af sårbarheder, hvis nogen

Du kan forvente følgende fra Virksomheden BAS-IP:

  • Tid til første svar — inden for 3 arbejdsdage efter modtagelse af den første besked
  • Behandlingstid (fra det øjeblik, den første respons modtages) — inden for 10 arbejdsdage
  • Vi vil være så gennemsigtige som muligt omkring de skridt, vi tager i afhjælpningsprocessen, herunder spørgsmål og problemer, der kan forsinke løsningen
  • Vi vil opretholde en åben dialog for at diskutere problemer

Offentliggørelse af sårbarhed

Når rapporten om en opdaget sårbarhed er blevet undersøgt og bekræftet som ægte, begynder BAS-IP processen for ansvarlig offentliggørelse. BAS-IP stræber efter at samarbejde med forskeren vedrørende yderligere detaljer, såsom CVSS 3.1 vurdering, indhold af sikkerhedsanbefaling og/eller pressemeddelelser (hvis relevant), og datoen for ekstern offentliggørelse.

Efter en aftale mellem Virksomheden BAS-IP og forskeren vil sårbarheden blive offentliggjort til eksterne formål ved, at Virksomheden BAS-IP udgiver sikkerhedsanbefalinger og/eller en pressemeddelelse.

Dokumentets ændringshistorik

VersionDatoBeskrivelse
1.015.02.2024Første udgivelse