Skip to Content
Go back
BAS-IP / Saugumo politika

Pažeidžiamumų atskleidimo politika

Bendra informacija

BAS-IP laikosi pirmaujančių pramonės praktikų valdant ir reaguojant į mūsų produktuose aptiktas saugumo spragas. Neįmanoma garantuoti, kad mūsų įmonės teikiami produktai ir paslaugos yra visiškai be pažeidžiamumų. Tai nėra unikali savybė, o veikiau bendra sąlyga visoms programoms ir paslaugoms, tačiau galime garantuoti, kad visuose kūrimo etapuose dėsime pastangas nustatyti ir pašalinti potencialius pažeidžiamumus, taip sumažindami riziką, susijusią su BAS-IP produktų ir paslaugų diegimu klientų aplinkoje.

BAS-IP pripažįsta, kad kai kurie standartiniai tinklo protokolai ir paslaugos gali turėti įgimtų silpnybių, kuriomis galima pasinaudoti. Nors BAS-IP nėra atsakinga už šiuos protokolus ir paslaugas, mes teikiame rekomendacijas, kaip sumažinti riziką, susijusią su BAS-IP produktais, programine įranga ir paslaugomis, įvairių vadovų forma.

Ką apima politika

Šiame dokumente aprašyta pažeidžiamumo valdymo politika taikoma visiems BAS-IP prekės ženklo produktams, programinei įrangai ir paslaugoms.

Ko politika neapima

Kai kurios pažeidžiamumo rūšys nepatenka į BAS-IP pažeidžiamumo valdymo politikos taikymo sritį. Prašome nesiųsti pažeidžiamumo ataskaitų, kurioms netaikoma pažeidžiamumo valdymo politika, adresu [email protected]:

  • Pažeidžiamumai, reikalaujantys aukštų privilegijų ir/arba socialinės inžinerijos, kurie suaktyvinami/įvykdomi turint root/administratoriaus prieigą ir/arba reikalauja sudėtingos vartotojo sąveikos
  • Subdomeno perėmimas (Subdomain takeover), pavyzdžiui, kontrolės įgijimas virš mazgo, kuris nurodo į šiuo metu nenaudojamą paslaugą
  • Neteisingos vartotojo konfigūracijos, kurių galima išvengti laikantis BAS-IP vadovų
  • Pažeidžiamumai turinyje ar programose, kurias sukūrė trečiųjų šalių vartotojai ar partneriai, pavyzdžiui, programos, kurias galima atsisiųsti ir paleisti BAS-IP įrenginiuose
  • Tarpvietinio užklausų klastojimo (CSRF) arba tarpvietinio scenarijų vykdymo (XSS) pažeidžiamumai, kurie apgaule verčia vartotoją aplankyti kenkėjišką svetainę ar spustelėti užmaskuotą nuorodą, kai prisijungiama prie BAS-IP įrenginių žiniatinklio sąsajos
  • Trečiųjų šalių atvirojo kodo pažeidžiamumai, užregistruoti CVE identifikatoriumi, esantys programinės įrangos komponentuose ar paketuose, naudojamuose BAS-IP produktuose, programinėje įrangoje ar paslaugose. Dažni tokių programinės įrangos komponentų pavyzdžiai yra Linux branduolys, OpenSSL, AOSP ir kiti
  • HTTP(S) saugumo antraščių trūkumas, pvz., X-Frame-Options
  • Pažeidžiamumo ataskaitos, sugeneruotos trečiųjų šalių tinklo saugumo skaitytuvų
  • Nepalaikomi produktai/programinė įranga/paslaugos
  • Tinklo paslaugos atsisakymo (DoS ar DDoS) testai ar kiti bandymai, kurie sutrikdo prieigą prie sistemos ar duomenų arba jiems daro žalą

Įsipareigojimai

BAS-IP vertina ir skatina tyrėjų pastangas nustatant ir pranešant apie pažeidžiamumus BAS-IP produktuose, programinėje įrangoje ir paslaugose. Laikydamasi atsakingo atskleidimo proceso, BAS-IP produktų saugumo komanda, kiek įmanoma, gerbs tyrėjų interesus per abipusį bendradarbiavimą ir skaidrumą viso atskleidimo proceso metu.

BAS-IP Įmonė tikisi, kad tyrėjai neatskleis pažeidžiamumų, kol nepasibaigs 90 dienų laikotarpis arba abipusiai sutarta data, ir vykdys pažeidžiamumo tyrimus teisėtose ribose, nedarydami žalos, neatskleisdami konfidencialumo ir nekompromituodami BAS-IP Įmonės, jos partnerių ir klientų saugumo.

Pažeidžiamumo valdymas

BAS-IP Įmonė pažeidžiamumus vertina naudodama gerai žinomą CVSS vertinimo sistemą.

Dėl atvirojo kodo komponentų pažeidžiamumų, BAS-IP gali įvertinti pažeidžiamumą priklausomai nuo jo reikšmės kontekste, kaip BAS-IP rekomenduoja diegti savo produktus, programinę įrangą ir paslaugas. Saugumo konsultacijos paprastai teikiamos tik BAS-IP specifiniams pažeidžiamumams.

Prioritetų paskirstymas, kai pažeidžiamumas yra įvertintas ir jam turi būti taikomos korekcijos priemonės:

  • CVSS 3.1 high/critical (7.0 – 10.0)
    BAS-IP stengiasi pašalinti pažeidžiamumą prieš išorinį atskleidimą arba per 4 savaites po jo. Atvirojo kodo komponentams, terminas paprastai yra ilgesnis, nes BAS-IP priklauso nuo išorinių šalių dėl informacijos, pataisymų ir/arba patvirtinimo
  • CVSS 3.1 medium (4.0 – 6.9)
    BAS-IP siekia pašalinti pažeidžiamumą, paprastai per 2–3 mėnesius
  • CVSS 3.1 low (0.1 – 3.9)
    BAS-IP planuoja pašalinti pažeidžiamumą kitame numatytame išleidime
  • Palaikoma programinė įranga/paslaugos
    BAS-IP programinės įrangos/paslaugų palaikymo etapas nustatomas atsižvelgiant į bendrą programinės įrangos gyvavimo ciklo procesą. BAS-IP programinė įranga/paslaugos paprastai palaikomos 1 metus po gyvavimo pabaigos (end-of-life) paskelbimo.

Pranešimas apie pažeidžiamumą

BAS-IP nuolat dirba siekdama nustatyti ir sumažinti riziką, susijusią su pažeidžiamumais mūsų produktuose. Tačiau, jei aptikote saugumo sistemos pažeidžiamumą, susijusį su BAS-IP produktu, programine įranga ar paslauga, mes primygtinai rekomenduojame nedelsiant pranešti apie problemą. Savalaikis pranešimas apie saugumo sistemos pažeidžiamumus yra labai svarbus siekiant sumažinti jų praktinio naudojimo tikimybę. Apie saugumo pažeidžiamumus, susijusius su atvirojo kodo programinės įrangos komponentais, reikia pranešti tiesiogiai atsakingai organizacijai.

Galutiniai vartotojai, partneriai, tiekėjai, pramonės grupės ir nepriklausomi tyrėjai, kurie aptiko galimą pažeidžiamumą, raginami pranešti apie savo išvadas adresu [email protected] arba užpildydami anoniminę formą.

Pateiktoje ataskaitoje turėtų būti:

  • Techninė informacija apie potencialų pažeidžiamumą
  • Reprodukavimo žingsniai
  • Apskaičiuotas poveikis ir rimtumas išnaudojimo atveju pagal CVSS 3.1
  • Paties tyrėjo pažeidžiamumo atskleidimo politika, jei tokia yra

Iš BAS-IP Įmonės galite tikėtis štai ko:

  • Laikas iki pirmojo atsakymo — per 3 darbo dienas nuo pradinio pranešimo gavimo
  • Apdorojimo laikas (nuo pirmojo atsakymo gavimo momento) — per 10 darbo dienų
  • Būsime kiek įmanoma skaidresni dėl žingsnių, kurių imamės korekcijos procese, įskaitant klausimus ir problemas, kurios gali uždelsti sprendimą
  • Mes palaikysime atvirą dialogą diskutuojant apie problemas

Pažeidžiamumo atskleidimas

Kai ataskaita apie aptiktą pažeidžiamumą yra išnagrinėta ir patvirtinta kaip tikra, BAS-IP pradeda atsakingo atskleidimo procesą. BAS-IP stengiasi bendradarbiauti su tyrėju dėl tolesnių detalių, tokių kaip CVSS 3.1 įvertinimas, saugumo rekomendacijų turinys ir/arba pranešimai spaudai (jei taikoma) ir išorinio atskleidimo data.

Po BAS-IP Įmonės ir tyrėjo susitarimo, pažeidžiamumas bus atskleistas išorės tikslais, BAS-IP Įmonei paskelbiant saugumo rekomendacijas ir/arba pranešimą spaudai.

Dokumento pakeitimų istorija

VersijaDataAprašymas
1.015.02.2024Pirmasis leidimas