Skip to Content
Go back
BAS-IP / Sigurnosna politika

Pravila o otkrivanju ranjivosti

Opće informacije

BAS-IP slijedi vodeće industrijske prakse u upravljanju i odgovaranju na sigurnosne ranjivosti otkrivene u našim proizvodima. Nemoguće je jamčiti da su proizvodi i usluge koje pruža naša tvrtka potpuno bez ranjivosti. To nije jedinstvena značajka, već uobičajeno stanje za sav softver i usluge, ali možemo jamčiti da ćemo u svim fazama razvoja ulagati napore kako bismo identificirali i eliminirali potencijalne ranjivosti, čime smanjujemo rizik povezan s primjenom BAS-IP proizvoda i usluga u okruženjima korisnika.

BAS-IP prepoznaje da neki standardni mrežni protokoli i usluge mogu imati inherentne slabosti koje se mogu iskoristiti. Iako BAS-IP nije odgovoran za te protokole i usluge, pružamo preporuke za smanjenje rizika povezanih s BAS-IP proizvodima, softverom i uslugama u obliku raznih vodiča.

Što Politika pokriva

Politika upravljanja ranjivostima opisana u ovom dokumentu primjenjuje se na sve proizvode, softver i usluge pod markom BAS-IP.

Što Politika ne pokriva

Neke ranjivosti nisu pokrivene politikom upravljanja ranjivostima BAS-IP-a. Molimo vas da ne šaljete izvješća o ranjivostima koja nisu pokrivena politikom upravljanja ranjivostima na [email protected]:

  • Ranjivosti koje zahtijevaju visoke privilegije i/ili socijalni inženjering koje se pokreću/izvršavaju s root/administrator pristupom i/ili zahtijevaju složen korisnički interakciju
  • Preuzimanje poddomene (Subdomain takeover), na primjer, preuzimanje kontrole nad čvorom koji pokazuje na trenutno neiskorištenu uslugu
  • Neispravne korisničke konfiguracije koje se mogu spriječiti slijeđenjem BAS-IP vodiča
  • Ranjivosti u sadržaju ili aplikacijama koje su stvorili korisnici ili partneri trećih strana, kao što su aplikacije koje se mogu preuzeti i pokrenuti na BAS-IP uređajima
  • Ranjivosti Cross-Site Request Forgery (CSRF) ili Cross-Site Scripting (XSS) koje prevare korisnika da posjeti zlonamjernu web stranicu ili klikne na prikrivenu poveznicu prilikom pristupa web sučelju BAS-IP uređaja
  • Ranjivosti otvorenog koda trećih strana registrirane s CVE identifikatorom, koje se nalaze u softverskim komponentama ili paketima koji se koriste u BAS-IP proizvodima, softveru ili uslugama. Uobičajeni primjeri takvih softverskih komponenti uključuju Linux kernel, OpenSSL, AOSP i druge
  • Nedostatak HTTP(S) sigurnosnih zaglavlja, kao što je X-Frame-Options
  • Izvješća o ranjivostima generirana od strane skenera mrežne sigurnosti trećih strana
  • Nepodržani proizvodi/softver/usluge
  • Testovi Uskraćivanja mrežne usluge (DoS ili DDoS) ili drugi testovi koji prekidaju pristup sustavu ili podacima ili uzrokuju štetu na njima

Obveze

BAS-IP cijeni i potiče napore istraživača u identificiranju i prijavljivanju ranjivosti u BAS-IP proizvodima, softveru i uslugama. Slijedeći proces odgovornog otkrivanja, tim za sigurnost proizvoda BAS-IP će, najbolje što može, poštovati interese istraživača kroz međusobnu suradnju i transparentnost tijekom cijelog procesa otkrivanja.

Tvrtka BAS-IP očekuje da istraživači neće otkriti ranjivosti do isteka 90-dnevnog razdoblja ili međusobno dogovorenog datuma te da će provoditi istraživanje ranjivosti u zakonskim okvirima, bez nanošenja štete, otkrivanja povjerljivosti ili ugrožavanja sigurnosti Tvrtke BAS-IP, njezinih partnera i korisnika.

Upravljanje ranjivostima

Tvrtka BAS-IP procjenjuje ranjivosti koristeći dobro poznati sustav ocjenjivanja CVSS.

Što se tiče ranjivosti komponenti otvorenog koda, BAS-IP može procijeniti ranjivost ovisno o njezinoj važnosti u kontekstu načina na koji BAS-IP preporučuje implementaciju svojih proizvoda, softvera i usluga. Sigurnosne konzultacije obično se pružaju samo za ranjivosti specifične za BAS-IP.

Prioritetna distribucija kada je ranjivost procijenjena i podliježe sanaciji:

  • CVSS 3.1 high/critical (7.0 – 10.0)
    BAS-IP nastoji sanirati ranjivost prije ili unutar 4 tjedna nakon vanjskog otkrivanja. Za komponente otvorenog koda, vremenski okvir je obično duži, budući da BAS-IP ovisi o vanjskim stranama za informacije, popravke i/ili provjeru
  • CVSS 3.1 medium (4.0 – 6.9)
    BAS-IP nastoji sanirati ranjivost, obično unutar 2-3 mjeseca
  • CVSS 3.1 low (0.1 – 3.9)
    BAS-IP planira sanirati ranjivost u sljedećem planiranom izdanju
  • Podržani softver/usluge
    Faza podrške softvera/usluga BAS-IP određuje se unutar cjelokupnog procesa životnog ciklusa softvera. BAS-IP softver/usluge obično se podržavaju 1 godinu nakon objave kraja životnog vijeka (end-of-life).

Prijavljivanje ranjivosti

BAS-IP neprestano radi na identificiranju i ublažavanju rizika povezanih s ranjivostima u našim proizvodima. Međutim, ako ste otkrili ranjivost sustava sigurnosti povezanu s proizvodom, softverom ili uslugom BAS-IP-a, strogo preporučujemo da odmah prijavite problem. Pravovremeno prijavljivanje ranjivosti sustava sigurnosti ključno je za smanjenje vjerojatnosti njihove praktične upotrebe. Sigurnosne ranjivosti povezane s komponentama softvera otvorenog koda trebaju se prijaviti izravno odgovornoj organizaciji.

Krajnji korisnici, partneri, dobavljači, industrijske grupe i neovisni istraživači koji su otkrili potencijalnu ranjivost potiču se da prijave svoje nalaze na [email protected] ili ispunjavanjem anonimnog obrasca.

Podneseno izvješće treba uključivati:

  • ehničke informacije o potencijalnoj ranjivosti
  • Korake za reprodukciju
  • Procijenjeni utjecaj i ozbiljnost u slučaju eksploatacije prema CVSS 3.1
  • Vlastitu politiku otkrivanja ranjivosti istraživača, ako postoji

Od Tvrtke BAS-IP možete očekivati sljedeće:

  • Vrijeme prvog odgovora — unutar 3 radna dana nakon primitka početne poruke
  • Vrijeme obrade (od trenutka primitka prvog odgovora) — unutar 10 radnih dana
  • Bit ćemo što transparentniji u pogledu koraka koje poduzimamo u procesu sanacije, uključujući pitanja i probleme koji mogu odgoditi rješenje
  • Održavat ćemo otvoren dijalog za raspravu o problemima

Otkrivanje ranjivosti

Nakon što se izvješće o otkrivenoj ranjivosti ispita i potvrdi da je autentično, BAS-IP započinje proces odgovornog otkrivanja. BAS-IP nastoji surađivati s istraživačem u vezi s daljnjim detaljima, kao što su procjena CVSS 3.1, sadržaj sigurnosne preporuke i/ili priopćenja za javnost (ako je primjenjivo), te datum vanjskog otkrivanja.

Nakon dogovora između Tvrtke BAS-IP i istraživača, ranjivost će biti otkrivena za vanjske svrhe objavljivanjem sigurnosnih preporuka i/ili priopćenja za javnost od strane Tvrtke BAS-IP.

Povijest promjena dokumenta

VerzijaDatumOpis
1.015.02.2024Prvo izdanje