Skip to Content
Go back
BAS-IP / Drošības politika

Ievainojamību atklāšanas politika

Vispārīga informācija

BAS-IP ievēro nozares vadošās prakses, pārvaldot un reaģējot uz mūsu produktos atklātajām drošības ievainojamībām. Nav iespējams garantēt, ka mūsu uzņēmuma nodrošinātie produkti un pakalpojumi ir pilnībā brīvi no ievainojamībām. Tā nav unikāla iezīme, bet gan kopīgs nosacījums visām programmatūrām un pakalpojumiem, taču mēs varam garantēt, ka visos izstrādes posmos mēs centīsimies identificēt un novērst potenciālās ievainojamības, tādējādi samazinot risku, kas saistīts ar BAS-IP produktu un pakalpojumu ieviešanu klientu vidēs.

BAS-IP atzīst, ka dažiem standarta tīkla protokoliem un pakalpojumiem var būt iedzimti trūkumi, kurus var izmantot. Lai gan BAS-IP nav atbildīgs par šiem protokoliem un pakalpojumiem, mēs sniedzam ieteikumus risku mazināšanai, kas saistīti ar BAS-IP produktiem, programmatūru un pakalpojumiem, dažādu vadlīniju veidā.

Ko Sedz Politika

Šajā dokumentā aprakstītā ievainojamību pārvaldības politika attiecas uz visiem BAS-IP zīmola produktiem, programmatūru un pakalpojumiem.

Ko Politika Nesedz

Dažas ievainojamības nesedz BAS-IP ievainojamību pārvaldības politika. Lūdzu, nesūtiet uz [email protected] ievainojamību ziņojumus, kurus nesedz ievainojamību pārvaldības politika:

  • Ievainojamības, kas prasa augstas privilēģijas un/vai sociālo inženieriju, kuras tiek iedarbinātas/izpildītas ar root/administratora piekļuvi un/vai prasa kompleksu lietotāja mijiedarbību
  • Apakšdomēna pārņemšana (Subdomain takeover), piemēram, kontroles iegūšana pār mezglu, kas norāda uz pašlaik neizmantotu pakalpojumu
  • Nepareizas lietotāja konfigurācijas, kuras var novērst, ievērojot BAS-IP vadlīnijas
  • Ievainojamības saturā vai lietojumprogrammās, ko radījuši trešo pušu lietotāji vai partneri, piemēram, lietojumprogrammās, kuras var lejupielādēt un palaist BAS-IP ierīcēs
  • Cross-Site Request Forgery (CSRF) vai Cross-Site Scripting (XSS) ievainojamības, kas apmāna lietotāju, lai tas apmeklētu ļaunprātīgu vietni vai noklikšķinātu uz maskētas saites, piekļūstot BAS-IP ierīču tīmekļa saskarnei
  • Trešo pušu atvērtā koda ievainojamības, kas reģistrētas ar CVE identifikatoru un atrodas BAS-IP produktos, programmatūrā vai pakalpojumos izmantotajās programmatūras komponentēs vai pakotnēs. Šādu programmatūras komponentu bieži sastopami piemēri ir Linux kodols, OpenSSL, AOSP un citi
  • HTTP(S) drošības virsrakstu trūkums, piemēram, X-Frame-Options
  • Ievainojamību ziņojumi, ko ģenerējuši trešo pušu tīkla drošības skeneri
  • Neatbalstīti produkti/programmatūra/pakalpojumi
  • Tīkla pakalpojumu atteikuma (DoS vai DDoS) testi vai citi testi, kas traucē piekļuvi sistēmai vai datiem vai rada tiem kaitējumu

Saistības

BAS-IP augstu vērtē un atbalsta pētnieku centienus identificēt un ziņot par ievainojamībām BAS-IP produktos, programmatūrā un pakalpojumos. Ievērojot atbildīgas atklāšanas procesu, BAS-IP produktu drošības komanda, cik vien iespējams, ievēros pētnieku intereses, izmantojot savstarpēju sadarbību un pārredzamību visā atklāšanas procesā.

BAS-IP Uzņēmums sagaida, ka pētnieki neizpaudīs ievainojamības līdz 90 dienu perioda beigām vai abpusēji saskaņotam datumam un veiks ievainojamību izpēti likumu robežās, neradot kaitējumu, neizpaužot konfidencialitāti vai neapdraudot BAS-IP Uzņēmuma, tā partneru un klientu drošību.

Ievainojamību pārvaldība

BAS-IP Uzņēmums novērtē ievainojamības, izmantojot labi zināmo CVSS vērtēšanas sistēmu.

Attiecībā uz atvērtā koda komponentu ievainojamībām, BAS-IP var novērtēt ievainojamību atkarībā no tās nozīmīguma kontekstā, kā BAS-IP iesaka ieviest savus produktus, programmatūru un pakalpojumus. Drošības konsultācijas parasti tiek sniegtas tikai BAS-IP specifiskām ievainojamībām.

Prioritātes sadalījums, ja ievainojamība ir novērtēta un tai jāveic novēršana:

  • CVSS 3.1 high/critical (7.0 – 10.0)
    BAS-IP cenšas novērst ievainojamību pirms ārējās atklāšanas vai 4 nedēļu laikā pēc tās. Atvērtā koda komponentēm termiņš parasti ir ilgāks, jo BAS-IP ir atkarīgs no ārējām pusēm informācijas, labojumu un/vai pārbaudes ziņā
  • CVSS 3.1 medium (4.0 – 6.9)
    BAS-IP mērķis ir novērst ievainojamību, parasti 2-3 mēnešu laikā
  • CVSS 3.1 low (0.1 – 3.9)
    BAS-IP plāno novērst ievainojamību nākamajā plānotajā laidienā
  • Atbalstītā programmatūra/pakalpojumi
    BAS-IP programmatūras/pakalpojumu atbalsta posms tiek noteikts vispārējā programmatūras dzīves cikla procesā. BAS-IP programmatūra/pakalpojumi parasti tiek atbalstīti 1 gadu pēc end-of-life (dzīves cikla beigu) paziņojuma.

Ziņošana par ievainojamību

BAS-IP pastāvīgi strādā, lai identificētu un mazinātu riskus, kas saistīti ar ievainojamībām mūsu produktos. Tomēr, ja esat atklājis drošības sistēmas ievainojamību, kas saistīta ar BAS-IP produktu, programmatūru vai pakalpojumu, mēs stingri iesakām nekavējoties ziņot par problēmu. Savlaicīga ziņošana par drošības sistēmas ievainojamībām ir ļoti svarīga, lai samazinātu to praktiskas izmantošanas iespējamību. Par drošības ievainojamībām, kas saistītas ar atvērtā koda programmatūras komponentēm, jāziņo tieši atbildīgajai organizācijai.

Gala lietotāji, partneri, piegādātāji, nozares grupas un neatkarīgi pētnieki, kuri ir atklājuši potenciālu ievainojamību, tiek aicināti ziņot par saviem atklājumiem uz [email protected] vai aizpildot anonīmu veidlapu.

Iesniegtajā ziņojumā jāiekļauj:

  • Tehniskā informācija par potenciālo ievainojamību
  • Reproducēšanas soļi
  • Aptuvenā ietekme un nopietnība izmantošanas gadījumā saskaņā ar CVSS 3.1
  • Paša pētnieka ievainojamību atklāšanas politika, ja tāda ir

Jūs varat sagaidīt no BAS-IP Uzņēmuma:

  • Laiks līdz pirmajai atbildei — 3 darba dienu laikā pēc sākotnējā ziņojuma saņemšanas
  • Apstrādes laiks (no pirmās atbildes saņemšanas brīža) — 10 darba dienu laikā
  • Mēs būsim pēc iespējas pārredzamāki par soļiem, ko veicam novēršanas procesā, ieskaitot jautājumus un problēmas, kas var aizkavēt risinājumu
  • Mēs uzturēsim atklātu dialogu, lai apspriestu jautājumus

levainojamības atklāšana

Kad ziņojums par atklāto ievainojamību ir pārbaudīts un apstiprināts kā patiess, BAS-IP uzsāk atbildīgas atklāšanas procesu. BAS-IP cenšas sadarboties ar pētnieku par turpmākām detaļām, piemēram, CVSS 3.1 novērtējumu, drošības ieteikumu saturu un/vai preses relīzēm (ja attiecināms), un ārējās atklāšanas datumu.

Pēc vienošanās starp BAS-IP Uzņēmumu un pētnieku, ievainojamība tiks atklāta ārējiem mērķiem, BAS-IP Uzņēmumam publicējot drošības ieteikumus un/vai preses relīzi.

Dokumenta izmaiņu vēsture

VersijaDatumsApraksts
1.015.02.2024Pirmā versija