Skip to Content
Go back
BAS-IP / Kebijakan Keamanan

Kebijakan Pengungkapan Kerentanan

Informasi Umum

BAS-IP mengikuti praktik-praktik terkemuka di industri dalam mengelola dan menanggapi kerentanan keamanan yang ditemukan pada produk kami. Tidak mungkin untuk menjamin bahwa produk dan layanan yang disediakan oleh perusahaan kami sepenuhnya bebas dari kerentanan. Ini bukanlah fitur unik, melainkan kondisi umum untuk semua perangkat lunak dan layanan, tetapi kami dapat menjamin bahwa di semua tahap pengembangan, kami akan berupaya mengidentifikasi dan menghilangkan potensi kerentanan, sehingga mengurangi risiko yang terkait dengan penerapan produk dan layanan BAS-IP di lingkungan pelanggan.

BAS-IP mengakui bahwa beberapa protokol dan layanan jaringan standar mungkin memiliki kelemahan bawaan yang dapat dieksploitasi. Meskipun BAS-IP tidak bertanggung jawab atas protokol dan layanan ini, kami memberikan rekomendasi untuk mengurangi risiko yang terkait dengan produk, perangkat lunak, dan layanan BAS-IP dalam bentuk berbagai panduan.

Yang Dicakup oleh Kebijakan

Kebijakan manajemen kerentanan yang dijelaskan dalam dokumen ini berlaku untuk semua produk, perangkat lunak, dan layanan di bawah merek BAS-IP.

Yang Tidak Dicakup oleh Kebijakan

Beberapa kerentanan tidak dicakup oleh kebijakan manajemen kerentanan BAS-IP. Mohon untuk tidak mengirimkan laporan kerentanan yang tidak dicakup oleh kebijakan manajemen kerentanan ke [email protected]:

  • Kerentanan yang memerlukan hak istimewa tinggi dan/atau rekayasa sosial yang dipicu/dieksekusi dengan akses root/administrator dan/atau memerlukan interaksi pengguna yang kompleks
  • Pengambilalihan subdomain (Subdomain takeover), misalnya, mendapatkan kendali atas node yang mengarah ke layanan yang saat ini tidak digunakan
  • Konfigurasi pengguna yang salah yang dapat dicegah dengan mengikuti panduan BAS-IP
  • Kerentanan dalam konten atau aplikasi yang dibuat oleh pengguna atau mitra pihak ketiga, seperti aplikasi yang dapat diunduh dan dijalankan di perangkat BAS-IP
  • Kerentanan Cross-Site Request Forgery (CSRF) atau Cross-Site Scripting (XSS) yang menipu pengguna untuk mengunjungi situs web berbahaya atau mengeklik tautan tersembunyi saat mengakses antarmuka web perangkat BAS-IP
  • Kerentanan open-source pihak ketiga yang terdaftar dengan pengenal CVE yang terletak pada komponen perangkat lunak atau paket yang digunakan dalam produk, perangkat lunak, atau layanan BAS-IP. Contoh umum dari komponen perangkat lunak tersebut termasuk kernel Linux, OpenSSL, AOSP, dan lainnya
  • Kurangnya header keamanan HTTP(S), seperti X-Frame-Options
  • Laporan kerentanan yang dihasilkan oleh pemindai keamanan jaringan pihak ketiga
  • Produk/perangkat lunak/layanan yang tidak didukung
  • Tes Penolakan Layanan Jaringan (DoS atau DDoS) atau tes lain yang mengganggu akses ke sistem atau data atau menyebabkan kerusakan padanya

Kewajiban

BAS-IP menghargai dan mendorong upaya para peneliti dalam mengidentifikasi dan melaporkan kerentanan pada produk, perangkat lunak, dan layanan BAS-IP. Mengikuti proses pengungkapan yang bertanggung jawab, tim keamanan produk BAS-IP akan, semaksimal mungkin, menghormati kepentingan para peneliti melalui kerja sama timbal balik dan transparansi selama proses pengungkapan.

Perusahaan BAS-IP berharap bahwa para peneliti tidak akan mengungkapkan kerentanan hingga berakhirnya periode 90 hari atau tanggal yang disepakati bersama dan akan melakukan penelitian kerentanan dalam batas-batas hukum, tanpa menyebabkan kerugian, mengungkapkan kerahasiaan, atau membahayakan keamanan Perusahaan BAS-IP, mitra, dan pelanggannya.

Manajemen Kerentanan (Vulnerability Management)

Perusahaan BAS-IP menilai kerentanan menggunakan sistem peringkat CVSS yang terkenal.

Mengenai kerentanan komponen open-source, BAS-IP dapat menilai kerentanan tergantung pada signifikansinya dalam konteks bagaimana BAS-IP merekomendasikan implementasi produk, perangkat lunak, dan layanannya. Konsultasi keamanan biasanya hanya diberikan untuk kerentanan yang spesifik untuk BAS-IP.

Distribusi prioritas ketika kerentanan telah dinilai dan harus diperbaiki:

  • CVSS 3.1 high/critical (7.0 – 10.0)
    BAS-IP berusaha untuk memperbaiki kerentanan sebelum atau dalam waktu 4 minggu setelah pengungkapan eksternal. Untuk komponen open-source, kerangka waktu biasanya lebih lama, karena BAS-IP bergantung pada pihak eksternal untuk informasi, perbaikan, dan/atau verifikasi
  • CVSS 3.1 medium (4.0 – 6.9)
    BAS-IP bertujuan untuk memperbaiki kerentanan, biasanya dalam waktu 2-3 bulan
  • CVSS 3.1 low (0.1 – 3.9)
    BAS-IP berencana untuk memperbaiki kerentanan pada rilis terjadwal berikutnya
  • Perangkat Lunak/Layanan yang Didukung
    Tahap dukungan perangkat lunak/layanan BAS-IP ditentukan dalam proses siklus hidup perangkat lunak secara keseluruhan. Perangkat lunak/layanan BAS-IP biasanya didukung selama 1 tahun setelah pengumuman akhir masa pakai (end-of-life).

Melaporkan Kerentanan (Reporting a Vulnerability)

BAS-IP terus berupaya mengidentifikasi dan memitigasi risiko yang terkait dengan kerentanan pada produk kami. Namun, jika Anda telah menemukan kerentanan sistem keamanan yang terkait dengan produk, perangkat lunak, atau layanan BAS-IP, kami sangat menyarankan agar Anda segera melaporkan masalah tersebut. Pelaporan kerentanan sistem keamanan secara tepat waktu sangat penting untuk mengurangi kemungkinan penggunaannya secara praktis. Kerentanan keamanan yang terkait dengan komponen perangkat lunak open-source harus dilaporkan langsung ke organisasi yang bertanggung jawab.

Pengguna akhir, mitra, pemasok, kelompok industri, dan peneliti independen yang telah menemukan potensi kerentanan didorong untuk melaporkan temuan mereka ke [email protected] atau dengan mengisi formulir anonim.

Laporan yang diajukan harus mencakup:

  • Informasi teknis tentang potensi kerentanan
  • Langkah-langkah untuk mereproduksi
  • Perkiraan dampak dan tingkat keparahan jika terjadi eksploitasi menurut CVSS 3.1
  • Kebijakan pengungkapan kerentanan peneliti sendiri, jika ada

Anda dapat mengharapkan hal-hal berikut dari Perusahaan BAS-IP:

  • Waktu respons pertama — dalam waktu 3 hari kerja setelah menerima pesan awal
  • Waktu pemrosesan (sejak saat menerima respons pertama) — dalam waktu 10 hari kerja
  • Kami akan se transparan mungkin tentang langkah-langkah yang kami ambil dalam proses perbaikan, termasuk pertanyaan dan masalah yang dapat menunda solusi
  • Kami akan mempertahankan dialog terbuka untuk membahas masalah

Pengungkapan Kerentanan

Setelah laporan kerentanan yang ditemukan telah diperiksa dan dikonfirmasi sebagai asli, BAS-IP memulai proses pengungkapan yang bertanggung jawab. BAS-IP berusaha untuk bekerja sama dengan peneliti mengenai rincian lebih lanjut, seperti penilaian CVSS 3.1, konten rekomendasi keamanan dan/atau siaran pers (jika berlaku), dan tanggal pengungkapan eksternal.

Setelah kesepakatan antara Perusahaan BAS-IP dan peneliti, kerentanan akan diungkapkan untuk tujuan eksternal oleh Perusahaan BAS-IP dengan menerbitkan rekomendasi keamanan dan/atau siaran pers.

Riwayat Perubahan Dokumen

VersiTanggalDeskripsi
1.015.02.2024Rilis Pertama