Skip to Content
Go back
BAS-IP / Biztonsági irányelvek

Sebezhetőségi közzétételi irányelvek

Általános információk

A BAS-IP követi az iparágvezető gyakorlatokat a termékeinkben felfedezett biztonsági rések kezelésében és az azokra való reagálásban. Lehetetlen garantálni, hogy cégünk által nyújtott termékek és szolgáltatások teljesen mentesek a sebezhetőségektől. Ez nem egy egyedi jellemző, hanem inkább minden szoftverre és szolgáltatásra vonatkozó általános feltétel, de garantálni tudjuk, hogy a fejlesztés minden szakaszában erőfeszítéseket teszünk a potenciális sebezhetőségek azonosítására és kiküszöbölésére, ezáltal csökkentve a BAS-IP termékek és szolgáltatások ügyfélkörnyezetben történő telepítésével kapcsolatos kockázatot.

A BAS-IP elismeri, hogy egyes szabványos hálózati protokollok és szolgáltatások rendelkezhetnek inherens gyengeségekkel, amelyeket ki lehet használni. Bár a BAS-IP nem felelős ezekért a protokollokért és szolgáltatásokért, ajánlásokat teszünk a BAS-IP termékekkel, szoftverekkel és szolgáltatásokkal kapcsolatos kockázatok csökkentésére különféle útmutatók formájában.

Mit fed le a szabályzat

Az ebben a dokumentumban leírt sebezhetőség-kezelési szabályzat vonatkozik a BAS-IP márka alá tartozó összes termékre, szoftverre és szolgáltatásra.

Mit nem fed le a szabályzat

Néhány sebezhetőségre nem terjed ki a BAS-IP sebezhetőség-kezelési szabályzata. Kérjük, ne küldjön olyan sebezhetőségi jelentéseket a [email protected] címre, amelyekre nem terjed ki a sebezhetőség-kezelési szabályzat:

  • Olyan sebezhetőségek, amelyek magas jogosultságokat és/vagy szociális mérnöki tevékenységet igényelnek, és amelyeket root/rendszergazdai hozzáféréssel indítanak/hajtanak végre, és/vagy komplex felhasználói interakciót igényelnek
  • Al-domain átvétel (Subdomain takeover), például egy olyan csomópont feletti irányítás megszerzése, amely egy jelenleg nem használt szolgáltatásra mutat
  • Helytelen felhasználói konfigurációk, amelyek a BAS-IP útmutatók követésével megelőzhetők
  • Harmadik féltől származó felhasználók vagy partnerek által létrehozott tartalmakban vagy alkalmazásokban lévő sebezhetőségek, mint például olyan alkalmazások, amelyeket le lehet tölteni és futtatni lehet BAS-IP eszközökön
  • Cross-Site Request Forgery (CSRF) vagy Cross-Site Scripting (XSS) sebezhetőségek, amelyek megtévesztik a felhasználót, hogy rosszindulatú weboldalt látogasson meg, vagy elrejtett linkre kattintson a BAS-IP eszközök webes felületének elérésekor
  • Harmadik féltől származó nyílt forráskódú sebezhetőségek, amelyek CVE azonosítóval vannak regisztrálva, és a BAS-IP termékekben, szoftverekben vagy szolgáltatásokban használt szoftverkomponensekben vagy csomagokban találhatók. Az ilyen szoftverkomponensek gyakori példái közé tartozik a Linux kernel, az OpenSSL, az AOSP és mások
  • HTTP(S) biztonsági fejlécek hiánya, mint például az X-Frame-Options
  • Harmadik féltől származó hálózati biztonsági szkennerek által generált sebezhetőségi jelentések
  • Nem támogatott termékek/szoftverek/szolgáltatások
  • Hálózati szolgáltatásmegtagadási (DoS vagy DDoS) tesztek, vagy más tesztek, amelyek megzavarják a rendszerhez vagy adatokhoz való hozzáférést, vagy kárt okoznak bennük

Kötelezettségek

A BAS-IP értékeli és ösztönzi a kutatók erőfeszítéseit a BAS-IP termékek, szoftverek és szolgáltatások sebezhetőségeinek azonosításában és jelentésében. A felelős közzétételi folyamatot követve a BAS-IP termékbiztonsági csapata a legjobb tudása szerint tiszteletben tartja a kutatók érdekeit a kölcsönös együttműködés és átláthatóság révén a közzétételi folyamat során.

A BAS-IP Vállalat elvárja, hogy a kutatók ne hozzák nyilvánosságra a sebezhetőségeket a 90 napos időszak lejárta vagy egy kölcsönösen elfogadott dátum előtt, és a sebezhetőség kutatását jogi korlátokon belül végezzék, anélkül, hogy kárt okoznának, titoktartási információkat hoznának nyilvánosságra, vagy veszélyeztetnék a BAS-IP Vállalat, partnerei és ügyfelei biztonságát.

Sebezhetőség kezelése

A BAS-IP Vállalat a sebezhetőségeket a jól ismert CVSS minősítési rendszerrel értékeli.

A nyílt forráskódú komponensek sebezhetőségeivel kapcsolatban a BAS-IP a sebezhetőséget a BAS-IP által a termékei, szoftverei és szolgáltatásai megvalósítására vonatkozó ajánlásainak kontextusában meglévő jelentősége alapján értékelheti. A biztonsági konzultációkat általában csak a BAS-IP-specifikus sebezhetőségekre nyújtják.

Prioritás elosztás, amikor egy sebezhetőség értékelésre került és korrekcióra szorul:

  • CVSS 3.1 high/critical (7.0 – 10.0)
    A BAS-IP arra törekszik, hogy a sebezhetőséget a külső nyilvánosságra hozatal előtt vagy annak dátumától számított 4 héten belül orvosolja. Nyílt forráskódú komponensek esetében a határidő általában hosszabb, mivel a BAS-IP külső felektől függ az információ, a javítások és/vagy az ellenőrzés tekintetében
  • CVSS 3.1 medium (4.0 – 6.9)
    A BAS-IP célja a sebezhetőség orvoslása, jellemzően 2-3 hónapon belül
  • CVSS 3.1 low (0.1 – 3.9)
    A BAS-IP azt tervezi, hogy a sebezhetőséget a következő ütemezett kiadásban orvosolja
  • Támogatott szoftverek/szolgáltatások
    A BAS-IP szoftverek/szolgáltatások támogatási szakasza az általános szoftver életciklus folyamaton belül kerül meghatározásra. A BAS-IP szoftverek/szolgáltatások általában 1 évig támogatottak az end-of-life bejelentése után.

Sebezhetőség jelentése

A BAS-IP folyamatosan azon dolgozik, hogy azonosítsa és mérsékelje a termékeinkben lévő sebezhetőségekkel kapcsolatos kockázatokat. Ha azonban felfedezett egy biztonsági rendszer sebezhetőséget, amely BAS-IP termékkel, szoftverrel vagy szolgáltatással kapcsolatos, erősen javasoljuk, hogy azonnal jelentse a problémát. A biztonsági rendszer sebezhetőségeinek időben történő jelentése kritikus fontosságú a gyakorlati felhasználásuk valószínűségének csökkentése érdekében. A nyílt forráskódú szoftverkomponensekkel kapcsolatos biztonsági sebezhetőségeket közvetlenül az illetékes szervezetnek kell jelenteni.

A végfelhasználókat, partnereket, beszállítókat, ipari csoportokat és független kutatókat, akik potenciális sebezhetőséget fedeztek fel, arra ösztönözzük, hogy jelentsék be eredményeiket a [email protected] címre, vagy töltsenek ki egy névtelen űrlapot.

A benyújtott jelentésnek tartalmaznia kell:

  • Technikai információkat a potenciális sebezhetőségről
  • A reprodukálás lépéseit
  • Becsült hatást és súlyosságot a kihasználás esetén a CVSS 3.1 szerint
  • A kutató saját sebezhetőség-közzétételi szabályzatát, ha van ilyen

A BAS-IP Vállalattól a következőkre számíthat:

  • Első válaszadási idő — az eredeti üzenet kézhezvételétől számított 3 munkanapon belül
  • Feldolgozási idő (az első válasz kézhezvételének pillanatától) — 10 munkanapon belül
  • A lehető legátláthatóbbak leszünk a korrekciós folyamat során tett lépésekkel kapcsolatban, beleértve azokat a kérdéseket és problémákat, amelyek késleltethetik a megoldást
  • Fenntartjuk a nyílt párbeszédet a problémák megvitatására

Sebezhetőség közzététele

Miután a felfedezett sebezhetőségről szóló jelentést megvizsgálták és valósként megerősítették, a BAS-IP elkezdi a felelős közzétételi folyamatot. A BAS-IP törekszik együttműködni a kutatóval a további részletek, mint például a CVSS 3.1 értékelés, a biztonsági ajánlás tartalma és/vagy a sajtóközlemények (ha releváns), valamint a külső nyilvánosságra hozatal dátuma tekintetében.

A BAS-IP Vállalat és a kutató közötti megállapodás után a sebezhetőséget külső célokra a BAS-IP Vállalat biztonsági ajánlások és/vagy sajtóközlemény közzétételével hozza nyilvánosságra.

Dokumentum változási előzmények

VerzióDátumLeírás
1.015.02.2024FirElső kiadás