Skip to Content
Go back
BAS-IP / Sikkerhetspolicy

Policy for sårbarhetsavsløring

Generell Informasjon

BAS-IP følger bransjeledende praksis i forvaltningen og responsen på sikkerhetssårbarheter som oppdages i våre produkter. Det er umulig å garantere at produktene og tjenestene levert av vårt selskap er helt fri for sårbarheter. Dette er ikke en unik egenskap, men snarere en felles betingelse for all programvare og tjenester, men vi kan garantere at vi i alle utviklingsstadier vil gjøre en innsats for å identifisere og eliminere potensielle sårbarheter, og dermed redusere risikoen forbundet med distribusjon av BAS-IP produkter og tjenester i kundemiljøer.

BAS-IP erkjenner at noen standard nettverksprotokoller og tjenester kan ha iboende svakheter som kan utnyttes. Selv om BAS-IP ikke er ansvarlig for disse protokollene og tjenestene, gir vi anbefalinger for å redusere risikoer knyttet til BAS-IP produkter, programvare og tjenester i form av ulike veiledninger.

Hva Retningslinjen Dekker

Retningslinjen for sårbarhetsstyring beskrevet i dette dokumentet gjelder for alle produkter, programvare og tjenester under BAS-IP-merket.

Hva Retningslinjen Ikke Dekker (What the Policy Does Not Cover)

Noen sårbarheter dekkes ikke av BAS-IPs retningslinje for sårbarhetsstyring. Vennligst ikke send sårbarhetsrapporter som ikke dekkes av retningslinjen for sårbarhetsstyring til [email protected]:

  • Sårbarheter som krever høye privilegier og/eller sosial manipulering som utløses/utføres med root/administrator-tilgang og/eller krever kompleks brukerinteraksjon
  • Overtakelse av underdomene (Subdomain takeover), for eksempel å oppnå kontroll over en node som peker til en tjeneste som for tiden ikke er i bruk
  • Feil brukerkonfigurasjoner som kan forhindres ved å følge BAS-IPs veiledninger
  • Sårbarheter i innhold eller applikasjoner opprettet av tredjepartsbrukere eller partnere, for eksempel applikasjoner som kan lastes ned og kjøres på BAS-IP-enheter
  • Cross-Site Request Forgery (CSRF) eller Cross-Site Scripting (XSS) sårbarheter som lurer brukeren til å besøke et skadelig nettsted eller klikke på en forkledd lenke når de får tilgang til BAS-IP-enhetenes webgrensesnitt
  • Tredjeparts åpen kildekode-sårbarheter registrert med en CVE-identifikator, som er lokalisert i programvarekomponenter eller pakker brukt i BAS-IP produkter, programvare eller tjenester. Vanlige eksempler på slike programvarekomponenter inkluderer Linux-kjernen, OpenSSL, AOSP og andre
  • Mangel på HTTP(S)-sikkerhetshoder, for eksempel X-Frame-Options
  • Sårbarhetsrapporter generert av tredjeparts nettverkssikkerhetsskannere
  • Ikke-støttede produkter/programvare/tjenester
  • Nettverksangrep for tjenestenekt (DoS eller DDoS) eller andre tester som forstyrrer tilgangen til systemet eller dataene eller forårsaker skade på dem

Forpliktelser

BAS-IP verdsetter og oppmuntrer forskernes innsats i å identifisere og rapportere sårbarheter i BAS-IPs produkter, programvare og tjenester. Ved å følge prosessen for ansvarlig avsløring, vil BAS-IPs produktsikkerhetsteam, etter beste evne, respektere forskernes interesser gjennom gjensidig samarbeid og åpenhet gjennom hele avsløringsprosessen.

BAS-IP Company forventer at forskere ikke vil avsløre sårbarheter før utløpet av 90-dagersperioden eller en gjensidig avtalt dato og vil gjennomføre sårbarhetsforskning innenfor lovlige rammer, uten å forårsake skade, avsløre konfidensialitet eller sette sikkerheten til BAS-IP Company, dets partnere og kunder i fare.

Sårbarhetsstyring

BAS-IP Company vurderer sårbarheter ved hjelp av det velkjente CVSS-klassifiseringssystemet.

Når det gjelder åpen kildekode-komponentsårbarheter, kan BAS-IP vurdere sårbarheten avhengig av dens betydning i sammenheng med hvordan BAS-IP anbefaler å implementere sine produkter, programvare og tjenester. Sikkerhetskonsultasjoner gis vanligvis kun for sårbarheter som er spesifikke for BAS-IP.

Prioritetsfordeling når en sårbarhet er vurdert og skal utbedres:

  • CVSS 3.1 high/critical (7.0 – 10.0)
    BAS-IP bestreber seg på å utbedre sårbarheten før eller innen 4 uker etter ekstern avsløring. For åpen kildekode-komponenter er tidsrammen vanligvis lengre, da BAS-IP er avhengig av eksterne parter for informasjon, fikser og/eller verifisering
  • CVSS 3.1 medium (4.0 – 6.9)
    BAS-IP har som mål å utbedre sårbarheten, vanligvis innen 2-3 måneder
  • CVSS 3.1 low (0.1 – 3.9)
    BAS-IP planlegger å utbedre sårbarheten i neste planlagte utgivelse
  • Støttet programvare/tjenester (Supported software/services)
    Støttestadiet for BAS-IPs programvare/tjenester bestemmes innenfor den overordnede programvarens livssyklusprosess. BAS-IPs programvare/tjenester støttes vanligvis i 1 år etter kunngjøringen om end-of-life (slutt på levetiden).

Rapportering av en Sårbarhet (Reporting a Vulnerability)

BAS-IP jobber kontinuerlig med å identifisere og redusere risikoer knyttet til sårbarheter i produktene våre. Hvis du imidlertid har oppdaget en sikkerhetssystemsårbarhet relatert til et produkt, programvare eller tjeneste fra BAS-IP, anbefaler vi sterkt at du rapporterer problemet umiddelbart. Rettidig rapportering av sikkerhetssystemsårbarheter er avgjørende for å redusere sannsynligheten for deres praktiske bruk. Sikkerhetssårbarheter relatert til åpen kildekode-programvarekomponenter bør rapporteres direkte til den ansvarlige organisasjonen.

Sluttbrukere, partnere, leverandører, bransjegrupper og uavhengige forskere som har oppdaget en potensiell sårbarhet, oppfordres til å rapportere sine funn til s[email protected] eller ved å fylle ut et anonymt skjema.

Den innsendte rapporten skal inkludere:

  • Teknisk informasjon om den potensielle sårbarheten
  • Fremgangsmåte for å gjenskape
  • Estimert innvirkning og alvorlighetsgrad i tilfelle utnyttelse i henhold til CVSS 3.1
  • Forskerens egen retningslinje for sårbarhetsavsløring, hvis noen

Du kan forvente følgende fra BAS-IP Company:

  • Tid til første respons — innen 3 virkedager etter mottak av den første meldingen
  • Behandlingstid (fra øyeblikket den første responsen mottas) — innen 10 virkedager
  • Vi vil være så transparente som mulig angående trinnene vi tar i utbedringsprosessen, inkludert spørsmål og problemer som kan forsinke løsningen
  • Vi vil opprettholde en åpen dialog for å diskutere problemer

Sårbarhetsavsløring

Når rapporten om en oppdaget sårbarhet er undersøkt og bekreftet å være ekte, starter BAS-IP prosessen med ansvarlig avsløring. BAS-IP streber etter å samarbeide med forskeren angående ytterligere detaljer, for eksempel CVSS 3.1-vurdering, innhold i sikkerhetsanbefalingen og/eller pressemeldinger (hvis aktuelt), og datoen for ekstern avsløring.

Etter en avtale mellom BAS-IP Company og forskeren, vil sårbarheten bli avslørt for eksterne formål ved at BAS-IP Company publiserer sikkerhetsanbefalinger og/eller en pressemelding.

Dokumentets Endringshistorikk

VersjonDatoBeskrivelse
1.015.02.2024FFørste utgivelse