Skip to Content
Go back
BAS-IP / सिक्योरिटी पॉलिसी

वल्नरेबिलिटी डिस्क्लोजर पॉलिसी

सामान्य जानकारी

BAS-IP हमारे उत्पादों में खोजी गई सुरक्षा कमजोरियों (security vulnerabilities) के प्रबंधन और प्रतिक्रिया में उद्योग के अग्रणी अभ्यासों का पालन करता है। यह गारंटी देना असंभव है कि हमारी कंपनी द्वारा प्रदान किए गए उत्पाद और सेवाएं कमजोरियों से पूरी तरह मुक्त हैं। यह कोई अनूठी विशेषता नहीं है, बल्कि सभी सॉफ्टवेयर और सेवाओं के लिए एक सामान्य स्थिति है, लेकिन हम गारंटी दे सकते हैं कि विकास के सभी चरणों में, हम संभावित कमजोरियों की पहचान करने और उन्हें खत्म करने के प्रयास करेंगे, जिससे BAS-IP उत्पादों और सेवाओं को ग्राहक वातावरण में तैनात करने से जुड़े जोखिम को कम किया जा सके।

BAS-IP मानता है कि कुछ मानक नेटवर्क प्रोटोकॉल और सेवाओं में अंतर्निहित कमजोरियां हो सकती हैं जिनका फायदा उठाया जा सकता है। हालांकि BAS-IP इन प्रोटोकॉल और सेवाओं के लिए ज़िम्मेदार नहीं है, हम विभिन्न गाइडों के रूप में BAS-IP उत्पादों, सॉफ्टवेयर और सेवाओं से जुड़े जोखिमों को कम करने के लिए सिफारिशें प्रदान करते हैं।

नीति क्या कवर करती है

इस दस्तावेज़ में वर्णित भेद्यता प्रबंधन नीति (vulnerability management policy) BAS-IP ब्रांड के तहत सभी उत्पादों, सॉफ्टवेयर और सेवाओं पर लागू होती है।

नीति क्या कवर नहीं करती है

कुछ कमजोरियाँ BAS-IP भेद्यता प्रबंधन नीति द्वारा कवर नहीं की जाती हैं। कृपया कमजोरियों की ऐसी रिपोर्ट न भेजें जो भेद्यता प्रबंधन नीति द्वारा कवर नहीं की गई हैं, इस पते पर: [email protected]:

  • ऐसी कमजोरियाँ जिनके लिए उच्च विशेषाधिकार और/या सोशल इंजीनियरिंग की आवश्यकता होती है, जो रूट/एडमिनिस्ट्रेटर एक्सेस के साथ ट्रिगर/निष्पादित होती हैं और/या जटिल उपयोगकर्ता इंटरैक्शन की आवश्यकता होती है
  • सबडोमेन पर कब्ज़ा (Subdomain takeover), उदाहरण के लिए, वर्तमान में उपयोग में न आने वाली सेवा की ओर इशारा करने वाले नोड पर नियंत्रण प्राप्त करना
  • गलत उपयोगकर्ता कॉन्फ़िगरेशन जिन्हें BAS-IP गाइडों का पालन करके रोका जा सकता है
  • तीसरे पक्ष के उपयोगकर्ताओं या भागीदारों द्वारा बनाए गए कंटेंट या अनुप्रयोगों में कमजोरियाँ, जैसे कि एप्लिकेशन जिन्हें BAS-IP डिवाइस पर डाउनलोड और चलाया जा सकता है
  • क्रॉस-साइट रिक्वेस्ट फोर्जरी (CSRF) या क्रॉस-साइट स्क्रिप्टिंग (XSS) कमजोरियाँ जो उपयोगकर्ता को BAS-IP डिवाइस के वेब इंटरफ़ेस तक पहुँचते समय किसी दुर्भावनापूर्ण वेबसाइट पर जाने या किसी भेष बदले हुए लिंक पर क्लिक करने के लिए छलती हैं
  • तीसरे पक्ष के ओपन-सोर्स कमजोरियाँ जो CVE पहचानकर्ता के साथ पंजीकृत हैं और BAS-IP उत्पादों, सॉफ्टवेयर या सेवाओं में उपयोग किए जाने वाले सॉफ्टवेयर घटकों या पैकेजों में स्थित हैं। ऐसे सॉफ्टवेयर घटकों के सामान्य उदाहरणों में Linux कर्नेल, OpenSSL, AOSP और अन्य शामिल हैं
  • HTTP(S) सुरक्षा शीर्षकों की कमी, जैसे X-Frame-Options
  • तीसरे पक्ष के नेटवर्क सुरक्षा स्कैनर द्वारा उत्पन्न कमजोरियों की रिपोर्ट
  • असमर्थित उत्पाद/सॉफ्टवेयर/सेवाएं
  • नेटवर्क डेनियल ऑफ सर्विस (DoS या DDoS) परीक्षण या अन्य परीक्षण जो सिस्टम या डेटा तक पहुंच को बाधित करते हैं या उन्हें नुकसान पहुंचाते हैं

दायित्व

BAS-IP BAS-IP उत्पादों, सॉफ्टवेयर और सेवाओं में कमजोरियों की पहचान करने और रिपोर्ट करने में शोधकर्ताओं के प्रयासों को महत्व देता है और प्रोत्साहित करता है। जिम्मेदार प्रकटीकरण प्रक्रिया (responsible disclosure process) का पालन करते हुए, BAS-IP उत्पाद सुरक्षा टीम, अपनी सर्वोत्तम क्षमता के अनुसार, पूरे प्रकटीकरण प्रक्रिया के दौरान आपसी सहयोग और पारदर्शिता के माध्यम से शोधकर्ताओं के हितों का सम्मान करेगी।

BAS-IP कंपनी उम्मीद करती है कि शोधकर्ता 90-दिवसीय अवधि की समाप्ति या आपसी सहमति वाली तारीख तक कमजोरियों का खुलासा नहीं करेंगे और कानूनी सीमाओं के भीतर भेद्यता अनुसंधान करेंगे, BAS-IP कंपनी, उसके भागीदारों और ग्राहकों की सुरक्षा को नुकसान पहुंचाए बिना, गोपनीयता का खुलासा किए बिना या खतरे में डाले बिना।

भेद्यता प्रबंधन

BAS-IP कंपनी सुप्रसिद्ध CVSS रेटिंग प्रणाली का उपयोग करके कमजोरियों का आकलन करती है।

ओपन-सोर्स घटक कमजोरियों के संबंध में, BAS-IP BAS-IP उत्पादों, सॉफ्टवेयर और सेवाओं को लागू करने की सिफारिश कैसे करता है, इसके संदर्भ में उनकी महत्ता के आधार पर भेद्यता का आकलन कर सकता है। सुरक्षा परामर्श आमतौर पर केवल BAS-IP के लिए विशिष्ट कमजोरियों के लिए प्रदान किए जाते हैं।

प्राथमिकता वितरण, जब एक भेद्यता का आकलन किया गया है और वह सुधार के अधीन है:

  • CVSS 3.1 high/critical (7.0 – 10.0)
    BAS-IP बाहरी प्रकटीकरण से पहले या उसके 4 सप्ताह के भीतर भेद्यता का सुधार करने का प्रयास करता है। ओपन-सोर्स घटकों के लिए, समय सीमा आमतौर पर लंबी होती है, क्योंकि BAS-IP जानकारी, सुधार और/या सत्यापन के लिए बाहरी पक्षों पर निर्भर करता है
  • CVSS 3.1 medium (4.0 – 6.9)
    BAS-IP का लक्ष्य भेद्यता का सुधार करना है, आमतौर पर 2-3 महीनों के भीतर
  • CVSS 3.1 low (0.1 – 3.9)
    BAS-IP अगली निर्धारित रिलीज में भेद्यता का सुधार करने की योजना बना रहा है
  • समर्थित सॉफ्टवेयर/सेवाएं
    BAS-IP सॉफ्टवेयर/सेवाओं का समर्थन चरण समग्र सॉफ्टवेयर जीवनचक्र प्रक्रिया के भीतर निर्धारित किया जाता है। BAS-IP सॉफ्टवेयर/सेवाओं को आमतौर पर एंड-ऑफ-लाइफ (end-of-life) घोषणा के बाद 1 वर्ष तक समर्थित किया जाता है।

एक भेद्यता की रिपोर्टिंग

BAS-IP लगातार हमारे उत्पादों में कमजोरियों से जुड़े जोखिमों की पहचान करने और उन्हें कम करने के लिए काम कर रहा है। हालांकि, यदि आपने BAS-IP के किसी उत्पाद, सॉफ्टवेयर या सेवा से संबंधित सुरक्षा प्रणाली की भेद्यता की खोज की है, तो हम दृढ़ता से सलाह देते हैं कि आप इस मुद्दे की तुरंत रिपोर्ट करें। सुरक्षा प्रणाली की कमजोरियों की समय पर रिपोर्टिंग उनके व्यावहारिक उपयोग की संभावना को कम करने के लिए महत्वपूर्ण है। ओपन-सोर्स सॉफ्टवेयर घटकों से संबंधित सुरक्षा कमजोरियों की रिपोर्ट सीधे जिम्मेदार संगठन को दी जानी चाहिए।

अंतिम उपयोगकर्ताओं, भागीदारों, आपूर्तिकर्ताओं, उद्योग समूहों और स्वतंत्र शोधकर्ताओं, जिन्होंने संभावित भेद्यता की खोज की है, को सलाह दी जाती है कि वे अपने निष्कर्षों की रिपोर्ट [email protected] पर करें या एक अनाम फॉर्म भरकर दें।

जमा की गई रिपोर्ट में शामिल होना चाहिए:

  • संभावित भेद्यता के बारे में तकनीकी जानकारी
  • पुनरुत्पादन (reproduce) के चरण
  • CVSS 3.1 के अनुसार शोषण के मामले में अनुमानित प्रभाव और गंभीरता
  • शोधकर्ता की अपनी भेद्यता प्रकटीकरण नीति, यदि कोई हो

आप BAS-IP कंपनी से निम्नलिखित की उम्मीद कर सकते हैं:

  • पहली प्रतिक्रिया का समय — प्रारंभिक संदेश प्राप्त होने के बाद 3 कार्य दिवसों के भीतर
  • प्रसंस्करण समय (पहली प्रतिक्रिया प्राप्त होने के क्षण से) — 10 कार्य दिवसों के भीतर
  • हम सुधार प्रक्रिया में उठाए गए कदमों के बारे में यथासंभव पारदर्शी रहेंगे, जिसमें ऐसे प्रश्न और मुद्दे शामिल हैं जो समाधान में देरी कर सकते हैं
  • हम मुद्दों पर चर्चा करने के लिए एक खुला संवाद बनाए रखेंगे

भेद्यता का प्रकटीकरण

एक बार जब खोजी गई भेद्यता की रिपोर्ट की जांच हो जाती है और वह वास्तविक होने की पुष्टि हो जाती है, तो BAS-IP जिम्मेदार प्रकटीकरण प्रक्रिया शुरू करता है। BAS-IP शोधकर्ता के साथ आगे के विवरण, जैसे CVSS 3.1 आकलन, सुरक्षा सिफारिश की सामग्री और/या प्रेस विज्ञप्तियों (यदि लागू हो), और बाहरी प्रकटीकरण की तारीख के संबंध में सहयोग करने का प्रयास करता है।

BAS-IP कंपनी और शोधकर्ता के बीच एक समझौते के बाद, BAS-IP कंपनी द्वारा सुरक्षा सिफारिशों और/या एक प्रेस विज्ञप्ति प्रकाशित करके बाहरी उद्देश्यों के लिए भेद्यता का खुलासा किया जाएगा।

दस्तावेज़ परिवर्तन इतिहास

वर्जनतारीखविवरण
1.015.02.2024पहला रिलीज़