Skip to Content
Go back
BAS-IP / Polityka bezpieczeństwa

Polityka ujawniania luk w zabezpieczeniach

Informacje ogólne

BAS-IP stosuje wiodące w branży praktyki w zakresie zarządzania i reagowania na luki w zabezpieczeniach odkryte w naszych produktach. Nie jest możliwe zagwarantowanie, że produkty i usługi dostarczane przez naszą firmę są całkowicie wolne od luk. Nie jest to unikalna cecha, ale raczej powszechny stan dla wszystkich programów i usług, ale możemy zagwarantować, że na wszystkich etapach rozwoju będziemy podejmować wysiłki w celu identyfikacji i eliminacji potencjalnych luk, tym samym zmniejszając ryzyko związane z wdrażaniem produktów i usług BAS-IP w środowiskach klientów.

BAS-IP uznaje, że niektóre standardowe protokoły i usługi sieciowe mogą mieć wrodzone słabości, które można wykorzystać. Chociaż BAS-IP nie jest odpowiedzialne za te protokoły i usługi, dostarczamy rekomendacje dotyczące zmniejszania ryzyka związanego z produktami, oprogramowaniem i usługami BAS-IP w formie różnych przewodników.

Zakres Polityki

Opisana w tym dokumencie polityka zarządzania lukami w zabezpieczeniach ma zastosowanie do wszystkich produktów, oprogramowania i usług pod marką BAS-IP.

Wyłączenia z Polityki

Niektóre luki w zabezpieczeniach nie są objęte polityką zarządzania lukami BAS-IP. Prosimy nie wysyłać zgłoszeń luk, które nie są objęte polityką zarządzania lukami w zabezpieczeniach, na adres [email protected]:

  • Luki wymagające wysokich uprawnień i/lub inżynierii społecznej, które są wywoływane/wykonywane z dostępem root/administratora i/lub wymagają skomplikowanej interakcji użytkownika
  • Przejęcie subdomeny (Subdomain takeover), np. uzyskanie kontroli nad węzłem wskazującym na aktualnie nieużywaną usługę
  • Nieprawidłowe konfiguracje użytkownika, którym można zapobiec, postępując zgodnie z przewodnikami BAS-IP
  • Luki w zawartości lub aplikacjach stworzonych przez użytkowników lub partnerów stron trzecich, takich jak aplikacje, które można pobrać i uruchomić na urządzeniach BAS-IP
  • Luki Cross-Site Request Forgery (CSRF) lub Cross-Site Scripting (XSS), które oszukują użytkownika, nakłaniając go do odwiedzenia złośliwej strony internetowej lub kliknięcia na zamaskowany link podczas uzyskiwania dostępu do interfejsu internetowego urządzeń BAS-IP
  • Luki open-source stron trzecich zarejestrowane identyfikatorem CVE, znajdujące się w komponentach oprogramowania lub pakietach używanych w produktach, oprogramowaniu lub usługach BAS-IP. Typowe przykłady takich komponentów oprogramowania obejmują jądro Linuksa, OpenSSL, AOSP i inne
  • Brak nagłówków bezpieczeństwa HTTP(S), takich jak X-Frame-Options
  • Zgłoszenia luk generowane przez skanery bezpieczeństwa sieci stron trzecich
  • Nieobsługiwane produkty/oprogramowanie/usługi
  • Testy odmowy usługi sieciowej (DoS lub DDoS) lub inne testy, które zakłócają dostęp do systemu lub danych lub powodują ich uszkodzenie

Zobowiązania

BAS-IP docenia i zachęca do wysiłków badaczy w identyfikowaniu i zgłaszaniu luk w produktach, oprogramowaniu i usługach BAS-IP. Postępując zgodnie z procesem odpowiedzialnego ujawniania, zespół ds. bezpieczeństwa produktów BAS-IP dołoży wszelkich starań, aby szanować interesy badaczy poprzez wzajemną współpracę i przejrzystość w całym procesie ujawniania.

Firma BAS-IP oczekuje, że badacze nie ujawnią luk przed upływem 90-dniowego okresu lub wzajemnie uzgodnioną datą oraz że przeprowadzą badania luk w granicach prawa, bez powodowania szkód, ujawniania poufności lub narażania bezpieczeństwa Firmy BAS-IP, jej partnerów i klientów.

Zarządzanie Lukami w Zabezpieczeniach

Firma BAS-IP ocenia luki w zabezpieczeniach, używając dobrze znanego systemu oceny CVSS.

W odniesieniu do luk w komponentach open-source, BAS-IP może ocenić lukę w zależności od jej znaczenia w kontekście sposobu, w jaki BAS-IP rekomenduje wdrażanie swoich produktów, oprogramowania i usług. Konsultacje dotyczące bezpieczeństwa są zazwyczaj udzielane tylko w przypadku luk specyficznych dla BAS-IP.

Rozkład priorytetów, gdy luka została oceniona i podlega usunięciu:

  • CVSS 3.1 high/critical (7.0 – 10.0)
    BAS-IP dąży do usunięcia luki przed lub w ciągu 4 tygodni po zewnętrznym ujawnieniu. W przypadku komponentów open-source ramy czasowe są zazwyczaj dłuższe, ponieważ BAS-IP zależy od stron zewnętrznych w zakresie informacji, poprawek i/lub weryfikacji
  • CVSS 3.1 medium (4.0 – 6.9)
    BAS-IP dąży do usunięcia luki, zazwyczaj w ciągu 2-3 miesięcy
  • CVSS 3.1 low (0.1 – 3.9)
    BAS-IP planuje usunąć lukę w następnym zaplanowanym wydaniu
  • Obsługiwane oprogramowanie/usługi
    Etap wsparcia oprogramowania/usług BAS-IP jest określany w ramach ogólnego procesu cyklu życia oprogramowania. Oprogramowanie/usługi BAS-IP są zazwyczaj wspierane przez 1 rok po ogłoszeniu zakończenia życia (end-of-life).

Zgłaszanie Luki w Zabezpieczeniach

BAS-IP nieustannie pracuje nad identyfikacją i łagodzeniem ryzyka związanego z lukami w naszych produktach. Jeśli jednak odkryłeś lukę w systemie bezpieczeństwa związaną z produktem, oprogramowaniem lub usługą BAS-IP, zdecydowanie zalecamy natychmiastowe zgłoszenie problemu. Terminowe zgłaszanie luk w systemie bezpieczeństwa jest kluczowe dla zmniejszenia prawdopodobieństwa ich praktycznego wykorzystania. Luki w zabezpieczeniach związane z komponentami oprogramowania open-source należy zgłaszać bezpośrednio do odpowiedzialnej organizacji.

Użytkownicy końcowi, partnerzy, dostawcy, grupy branżowe i niezależni badacze, którzy odkryli potencjalną lukę, są zachęcani do zgłaszania swoich ustaleń na adres [email protected] lub poprzez wypełnienie formularza anonimowego.

Przesłane zgłoszenie powinno zawierać:

  • Informacje techniczne o potencjalnej luce
  • Kroki do odtworzenia
  • Szacowany wpływ i dotkliwość w przypadku wykorzystania zgodnie z CVSS 3.1
  • Własną politykę ujawniania luk badacza, jeśli taka istnieje

Możesz oczekiwać od Firmy BAS-IP:

  • Czas na pierwszą odpowiedź — w ciągu 3 dni roboczych od otrzymania początkowej wiadomości
  • Czas przetwarzania (od momentu otrzymania pierwszej odpowiedzi) — w ciągu 10 dni roboczych
  • Będziemy tak przejrzyści, jak to możliwe, w odniesieniu do kroków, które podejmujemy w procesie usuwania luk, włączając w to pytania i problemy, które mogą opóźnić rozwiązanie
  • Utrzymamy otwarty dialog w celu omówienia problemów

Ujawnianie Luki w Zabezpieczeniach

Po przeanalizowaniu i potwierdzeniu autentyczności zgłoszenia odkrytej luki, BAS-IP rozpoczyna proces odpowiedzialnego ujawniania. BAS-IP dąży do współpracy z badaczem w sprawie dalszych szczegółów, takich jak ocena CVSS 3.1, treść rekomendacji bezpieczeństwa i/lub komunikaty prasowe (jeśli mają zastosowanie) oraz data zewnętrznego ujawnienia.

Po uzgodnieniu między Firmą BAS-IP a badaczem, luka zostanie ujawniona na zewnątrz poprzez opublikowanie przez Firmę BAS-IP rekomendacji bezpieczeństwa i/lub komunikatu prasowego.

Historia Zmian Dokumentu

WersjaDataOpis
1.015.02.2024Pierwsze wydanie