Skip to Content
Go back
BAS-IP / Turvapoliitika

Haavatavuse avalikustamise poliitika

Üldine teave

BAS-IP järgib valdkonna juhtivaid tavasid meie toodetes avastatud turvanõrkustega tegelemisel ja neile reageerimisel. On võimatu garanteerida, et meie ettevõtte pakutavad tooted ja teenused on täielikult vabad turvanõrkustest. See ei ole ainulaadne omadus, vaid pigem levinud tingimus kogu tarkvara ja teenuste jaoks, kuid me garanteerime, et igas arendusjärgus teeme jõupingutusi potentsiaalsete haavatavuste tuvastamiseks ja kõrvaldamiseks, vähendades seeläbi riski, mis on seotud BAS-IP toodete ja teenuste juurutamisega klientide keskkondades.

BAS-IP tunnistab, et mõnel standardse võrguprotokollil ja teenusel võib olla kaasasündinud nõrkusi, mida saab ära kasutada. Kuigi BAS-IP ei vastuta nende protokollide ja teenuste eest, pakume soovitusi BAS-IP toodete, tarkvara ja teenustega seotud riskide vähendamiseks erinevate juhendite kujul.

Mida Poliitika hõlmab

Selles dokumendis kirjeldatud haavatavuste haldamise poliitika kehtib kõigi BAS-IP kaubamärgi all olevate toodete, tarkvara ja teenuste kohta.

Mida Poliitika ei hõlma

Mõned haavatavused ei kuulu BAS-IP haavatavuste haldamise poliitika alla. Palun ärge saatke turvanõrkuste aruandeid, mis ei kuulu haavatavuste haldamise poliitika alla, aadressile [email protected]:

  • Haavatavused, mis nõuavad kõrgeid privileege ja/või sotsiaalset inseneritööd, mis käivitatakse/täidetakse juur-/administraatorijuurdepääsuga ja/või nõuavad keerukat kasutaja suhtlust
  • Alamdomeeni ülevõtmine (Subdomain takeover), näiteks kontrolli saamine hetkel kasutamata teenusele osutava sõlme üle
  • Ebaõiged kasutaja konfiguratsioonid, mida saab vältida BAS-IP juhendite järgimisega
  • Haavatavused sisus või rakendustes, mille on loonud kolmandate osapoolte kasutajad või partnerid, näiteks rakendused, mida saab BAS-IP seadmetele alla laadida ja käivitada
  • Cross-Site Request Forgery (CSRF) või Cross-Site Scripting (XSS) haavatavused, mis petavad kasutaja külastama pahatahtlikku veebisaiti või klõpsama maskeeritud lingile BAS-IP seadmete veebiliidesele juurdepääsul
  • Kolmandate osapoolte avatud lähtekoodiga haavatavused, mis on registreeritud CVE-identifikaatoriga ja asuvad BAS-IP toodetes, tarkvaras või teenustes kasutatavates tarkvarakomponentides või pakettides. Levinud näited sellistest tarkvarakomponentidest on Linuxi kernel, OpenSSL, AOSP ja teised
  • HTTP(S) turvapäiste puudumine, näiteks X-Frame-Options
  • Haavatavuste aruanded, mille on genereerinud kolmandate osapoolte võrguturbe skannerid
  • Toetamata tooted/tarkvara/teenused
  • Võrgu teenuse keeldumise (DoS või DDoS) testid või muud testid, mis häirivad juurdepääsu süsteemile või andmetele või põhjustavad neile kahju

Kohustused

BAS-IP hindab ja julgustab teadlaste jõupingutusi BAS-IP toodete, tarkvara ja teenuste haavatavuste tuvastamisel ja neist teatamisel. Järgides vastutustundliku avalikustamise protsessi, austab BAS-IP toodete turvameeskond oma parimate võimete kohaselt teadlaste huve vastastikuse koostöö ja läbipaistvuse kaudu kogu avalikustamisprotsessi vältel.

Ettevõte BAS-IP eeldab, et teadlased ei avalikusta haavatavusi enne 90-päevase perioodi möödumist või vastastikku kokkulepitud kuupäeva ning viivad haavatavuste uuringud läbi seaduslikes piirides, ilma kahju tekitamata, konfidentsiaalsust avaldamata või Ettevõtte BAS-IP, selle partnerite ja klientide turvalisust ohtu seadmata.

Haavatavuste haldamine

Ettevõte BAS-IP hindab haavatavusi, kasutades tuntud CVSS hindamissüsteemi.

Seoses avatud lähtekoodiga komponentide haavatavustega võib BAS-IP haavatavust hinnata sõltuvalt selle olulisusest kontekstis, kuidas BAS-IP soovitab oma tooteid, tarkvara ja teenuseid juurutada. Turvakonsultatsioonid antakse tavaliselt ainult BAS-IP-spetsiifiliste haavatavuste kohta.

Prioriteetide jaotus, kui haavatavus on hinnatud ja kuulub parandamisele:

  • CVSS 3.1 high/critical (7.0 – 10.0)
    BAS-IP püüab haavatavuse parandada enne või hiljemalt 4 nädala jooksul pärast välist avalikustamist. Avatud lähtekoodiga komponentide puhul on ajakava tavaliselt pikem, kuna BAS-IP sõltub teabest, parandustest ja/või kontrollist kolmandatest osapooltest
  • CVSS 3.1 medium (4.0 – 6.9)
    BAS-IP eesmärk on haavatavus parandada, tavaliselt 2-3 kuu jooksul
  • CVSS 3.1 low (0.1 – 3.9)
    BAS-IP plaanib haavatavuse parandada järgnevas plaanipärases versioonis
  • Toetatud tarkvara/teenused
    BAS-IP tarkvara/teenuste tugifaas määratakse üldise tarkvara elutsükli protsessi raames. BAS-IP tarkvara/teenuseid toetatakse tavaliselt 1 aasta pärast elutsükli lõppemise (end-of-life) teatamist.

Haavatavusest teatamine

BAS-IP töötab pidevalt selle nimel, et tuvastada ja leevendada meie toodetega seotud riske. Kui olete aga avastanud BAS-IP toote, tarkvara või teenusega seotud turvasüsteemi haavatavuse, soovitame tungivalt probleemist kohe teatada. Turvasüsteemi haavatavustest õigeaegne teatamine on ülioluline nende praktilise kasutamise tõenäosuse vähendamiseks. Turvanõrkustest, mis on seotud avatud lähtekoodiga tarkvarakomponentidega, tuleks teatada otse vastutavale organisatsioonile.

Lõppkasutajaid, partnereid, tarnijaid, tööstusgruppe ja sõltumatuid teadlasi, kes on avastanud potentsiaalse haavatavuse, julgustatakse teatama oma leidudest aadressile [email protected] või täites anonüümse vormi.

Esitatud aruanne peaks sisaldama:

  • Technical information about the potential vulnerability
  • Steps to reproduce
  • Estimated impact and severity in case of exploitation according to CVSS 3.1
  • Researcher’s own vulnerability disclosure policy, if any

Ettevõttelt BAS-IP võite oodata järgmist:

  • Aeg esimesele vastusele — 3 tööpäeva jooksul pärast esialgse sõnumi saamist
  • Töötlemisaeg (alates esimese vastuse saamise hetkest) — 10 tööpäeva jooksul
  • Oleme võimalikult läbipaistvad seoses sammudega, mida astume parandamise protsessis, sealhulgas küsimuste ja probleemidega, mis võivad lahendust edasi lükata
  • Hoiame avatud dialoogi probleemide arutamiseks

Haavatavuse avalikustamine

Kui avastatud haavatavuse aruanne on läbi vaadatud ja kinnitatud autentsena, alustab BAS-IP vastutustundliku avalikustamise protsessi. BAS-IP püüab teha teadlasega koostööd täiendavate üksikasjade osas, nagu CVSS 3.1 hindamine, turvasoovituse sisu ja/või pressiteated (kui need on asjakohased) ning välise avalikustamise kuupäev.

Pärast Ettevõtte BAS-IP ja teadlase vahel kokkuleppe saavutamist avalikustatakse haavatavus välistel eesmärkidel Ettevõtte BAS-IP poolt turvasoovituste ja/või pressiteate avaldamisega.

Dokumendi muudatuste ajalugu

VersioonKuupäevKirjeldus
1.015.02.2024Esimene väljaanne