Skip to Content
Go back
BAS-IP / Politica di sicurezza

Politica di divulgazione delle vulnerabilità

Informazioni Generali

BAS-IP segue le pratiche leader del settore nella gestione e risposta alle vulnerabilità di sicurezza scoperte nei nostri prodotti. È impossibile garantire che i prodotti e i servizi forniti dalla nostra azienda siano completamente privi di vulnerabilità. Questa non è una caratteristica unica, ma piuttosto una condizione comune a tutti i software e servizi, ma possiamo garantire che in tutte le fasi di sviluppo, ci impegneremo per identificare ed eliminare potenziali vulnerabilità, riducendo così il rischio associato all’implementazione di prodotti e servizi BAS-IP negli ambienti dei clienti.

BAS-IP riconosce che alcuni protocolli e servizi di rete standard possono avere debolezze intrinseche che possono essere sfruttate. Sebbene BAS-IP non sia responsabile di questi protocolli e servizi, forniamo raccomandazioni per la riduzione dei rischi associati ai prodotti, software e servizi BAS-IP sotto forma di varie guide.

Cosa Copre la Politica

La politica di gestione delle vulnerabilità descritta in questo documento si applica a tutti i prodotti, software e servizi a marchio BAS-IP.

Cosa Non Copre la Politica

Alcune vulnerabilità non sono coperte dalla politica di gestione delle vulnerabilità di BAS-IP. Si prega di non inviare rapporti di vulnerabilità che non sono coperti dalla politica di gestione delle vulnerabilità a [email protected]:

  • Vulnerabilità che richiedono privilegi elevati e/o ingegneria sociale che vengono attivate/eseguite con accesso root/amministratore e/o richiedono un’interazione complessa da parte dell’utente
  • Subdomain takeover (presa di controllo di sottodomini), ad esempio, ottenere il controllo su un nodo che punta a un servizio attualmente inutilizzato
  • Configurazioni utente errate che possono essere prevenute seguendo le guide BAS-IP
  • Vulnerabilità nei contenuti o nelle applicazioni create da utenti o partner di terze parti, come le applicazioni che possono essere scaricate ed eseguite sui dispositivi BAS-IP
  • Vulnerabilità Cross-Site Request Forgery (CSRF) o Cross-Site Scripting (XSS) che ingannano l’utente facendogli visitare un sito web dannoso o cliccare su un link camuffato durante l’accesso all’interfaccia web dei dispositivi BAS-IP
  • Vulnerabilità open-source di terze parti registrate con un identificatore CVE, situate in componenti software o pacchetti utilizzati nei prodotti, software o servizi BAS-IP. Esempi comuni di tali componenti software includono il kernel Linux, OpenSSL, AOSP e altri
  • Mancanza di intestazioni di sicurezza HTTP(S), come X-Frame-Options
  • Rapporti di vulnerabilità generati da scanner di sicurezza di rete di terze parti
  • Prodotti/software/servizi non supportati
  • Test di Denial of Service (DoS o DDoS) di rete o altri test che interrompono l’accesso al sistema o ai dati o causano loro danni

Obblighi

BAS-IP apprezza e incoraggia gli sforzi dei ricercatori nell’identificare e segnalare le vulnerabilità nei prodotti, software e servizi BAS-IP. Seguendo il processo di divulgazione responsabile, il team di sicurezza dei prodotti BAS-IP rispetterà, al meglio delle sue capacità, gli interessi dei ricercatori attraverso la cooperazione reciproca e la trasparenza durante tutto il processo di divulgazione.

L’Azienda BAS-IP si aspetta che i ricercatori non divulghino le vulnerabilità prima della scadenza del periodo di 90 giorni o di una data concordata reciprocamente e che conducano la ricerca sulla vulnerabilità entro i limiti legali, senza causare danni, divulgare riservatezza o mettere a repentaglio la sicurezza dell’Azienda BAS-IP, dei suoi partner e dei suoi clienti.

Gestione delle Vulnerabilità

L’Azienda BAS-IP valuta le vulnerabilità utilizzando il noto sistema di classificazione CVSS.

Per quanto riguarda le vulnerabilità dei componenti open-source, BAS-IP può valutare la vulnerabilità a seconda della sua significatività nel contesto di come BAS-IP raccomanda l’implementazione dei suoi prodotti, software e servizi. Le consultazioni sulla sicurezza sono solitamente fornite solo per le vulnerabilità specifiche di BAS-IP.

Distribuzione delle priorità quando una vulnerabilità è stata valutata ed è soggetta a correzione:

  • CVSS 3.1 high/critical (7.0 – 10.0)
    BAS-IP si impegna a correggere la vulnerabilità prima o entro 4 settimane dalla divulgazione esterna. Per i componenti open-source, il lasso di tempo è solitamente più lungo, poiché BAS-IP dipende da parti esterne per informazioni, correzioni e/o verifiche
  • CVSS 3.1 medium (4.0 – 6.9)
    BAS-IP mira a correggere la vulnerabilità, tipicamente entro 2-3 mesi
  • CVSS 3.1 low (0.1 – 3.9)
    BAS-IP prevede di correggere la vulnerabilità nella prossima versione programmata
  • Software/servizi supportati
    La fase di supporto dei software/servizi BAS-IP è determinata all’interno del processo complessivo del ciclo di vita del software. I software/servizi BAS-IP sono generalmente supportati per 1 anno dopo l’annuncio di fine vita (end-of-life).

Segnalazione di una Vulnerabilità

BAS-IP lavora costantemente per identificare e mitigare i rischi associati alle vulnerabilità nei nostri prodotti. Tuttavia, se hai scoperto una vulnerabilità del sistema di sicurezza relativa a un prodotto, software o servizio di BAS-IP, ti consigliamo vivamente di segnalare il problema immediatamente. La segnalazione tempestiva delle vulnerabilità del sistema di sicurezza è fondamentale per ridurre la probabilità del loro utilizzo pratico. Le vulnerabilità di sicurezza relative ai componenti software open-source devono essere segnalate direttamente all’organizzazione responsabile.

Gli utenti finali, i partner, i fornitori, i gruppi industriali e i ricercatori indipendenti che hanno scoperto una potenziale vulnerabilità sono incoraggiati a segnalare le loro scoperte a [email protected] o compilando un modulo anonimo.

Il rapporto presentato dovrebbe includere:

  • Informazioni tecniche sulla potenziale vulnerabilità
  • Passaggi per la riproduzione
  • Impatto e gravità stimati in caso di sfruttamento secondo CVSS 3.1
  • La politica di divulgazione delle vulnerabilità del ricercatore, se presente

Ci si può aspettare quanto segue dall’Azienda BAS-IP:

  • Tempo per la prima risposta — entro 3 giorni lavorativi dalla ricezione del messaggio iniziale
  • Tempo di elaborazione (dal momento della ricezione della prima risposta) — entro 10 giorni lavorativi
  • Saremo il più trasparenti possibile riguardo ai passi che intraprendiamo nel processo di correzione, comprese domande e problemi che potrebbero ritardare la soluzione
  • Manterremo un dialogo aperto per discutere i problemi

Divulgazione della Vulnerabilità

Una volta che il rapporto di una vulnerabilità scoperta è stato esaminato e confermato come autentico, BAS-IP inizia il processo di divulgazione responsabile. BAS-IP si impegna a collaborare con il ricercatore per quanto riguarda ulteriori dettagli, come la valutazione CVSS 3.1, il contenuto della raccomandazione di sicurezza e/o i comunicati stampa (se applicabili) e la data di divulgazione esterna.

Dopo un accordo tra l’Azienda BAS-IP e il ricercatore, la vulnerabilità sarà divulgata per scopi esterni tramite la pubblicazione di raccomandazioni di sicurezza e/o un comunicato stampa da parte dell’Azienda BAS-IP.

Cronologia delle Modifiche del Documento

VersioneDataDescrizione
1.015.02.2024Prima versione