Skip to Content
Go back
BAS-IP / Política de segurança

Política de divulgação de vulnerabilidades

Informações Gerais

A BAS-IP segue as práticas líderes do setor no gerenciamento e resposta a vulnerabilidades de segurança descobertas em nossos produtos. É impossível garantir que os produtos e serviços fornecidos pela nossa empresa estejam completamente livres de vulnerabilidades. Esta não é uma característica única, mas sim uma condição comum a todos os softwares e serviços, mas podemos garantir que em todas as fases de desenvolvimento, faremos esforços para identificar e eliminar potenciais vulnerabilidades, reduzindo assim o risco associado à implantação de produtos e serviços BAS-IP em ambientes de clientes.

A BAS-IP reconhece que alguns protocolos e serviços de rede padrão podem ter fraquezas inerentes que podem ser exploradas. Embora a BAS-IP não seja responsável por estes protocolos e serviços, fornecemos recomendações para reduzir os riscos associados aos produtos, software e serviços BAS-IP sob a forma de vários guias.

O Que a Política Cobre

A política de gerenciamento de vulnerabilidades descrita neste documento aplica-se a todos os produtos, software e serviços sob a marca BAS-IP.

O Que a Política Não Cobre (What the Policy Does Not Cover)

Algumas vulnerabilidades não são cobertas pela política de gerenciamento de vulnerabilidades da BAS-IP. Por favor, não envie relatórios de vulnerabilidade que não sejam cobertos pela política de gerenciamento de vulnerabilidades para [email protected]:

  • Vulnerabilidades que requerem privilégios elevados e/ou engenharia social que são acionadas/executadas com acesso root/administrador e/ou requerem interação complexa do usuário
  • Tomada de controle de subdomínio (Subdomain takeover), por exemplo, obter o controle de um nó que aponta para um serviço atualmente não utilizado
  • Configurações incorretas do usuário que podem ser evitadas seguindo os guias da BAS-IP
  • Vulnerabilidades em conteúdo ou aplicações criadas por usuários ou parceiros de terceiros, tais como aplicações que podem ser baixadas e executadas em dispositivos BAS-IP
  • Vulnerabilidades Cross-Site Request Forgery (CSRF) ou Cross-Site Scripting (XSS) que enganam o usuário a visitar um website malicioso ou clicar em um link disfarçado ao acessar a interface web dos dispositivos BAS-IP
  • Vulnerabilidades open-source de terceiros registradas com um identificador CVE, localizadas em componentes de software ou pacotes usados em produtos, software ou serviços BAS-IP. Exemplos comuns de tais componentes de software incluem o kernel Linux, OpenSSL, AOSP e outros
  • Falta de headers de segurança HTTP(S), como X-Frame-Options
  • Relatórios de vulnerabilidade gerados por scanners de segurança de rede de terceiros
  • Produtos/software/serviços não suportados
  • Testes de Negação de Serviço de Rede (DoS ou DDoS) ou outros testes que interrompem o acesso ao sistema ou dados ou causam danos a eles

Obrigações

A BAS-IP valoriza e incentiva os esforços dos pesquisadores na identificação e relato de vulnerabilidades nos produtos, software e serviços da BAS-IP. Seguindo o processo de divulgação responsável, a equipe de segurança de produtos da BAS-IP irá, na medida do possível, respeitar os interesses dos pesquisadores através de cooperação mútua e transparência durante todo o processo de divulgação.

A Empresa BAS-IP espera que os pesquisadores não divulguem as vulnerabilidades até o término do período de 90 dias ou uma data mutuamente acordada e que conduzam a pesquisa de vulnerabilidade dentro dos limites legais, sem causar danos, divulgar confidencialidade ou comprometer a segurança da Empresa BAS-IP, seus parceiros e clientes.

Gerenciamento de Vulnerabilidades

A Empresa BAS-IP avalia as vulnerabilidades usando o conhecido sistema de classificação CVSS.

Em relação às vulnerabilidades de componentes open-source, a BAS-IP pode avaliar a vulnerabilidade dependendo de sua significância no contexto de como a BAS-IP recomenda a implementação de seus produtos, software e serviços. Consultas de segurança são geralmente fornecidas apenas para vulnerabilidades específicas da BAS-IP.

Distribuição de prioridade quando uma vulnerabilidade foi avaliada e está sujeita a correção:

  • VSS 3.1 high/critical (7.0 – 10.0)
    A BAS-IP se esforça para corrigir a vulnerabilidade antes ou dentro de 4 semanas após a divulgação externa. Para componentes open-source, o prazo é geralmente mais longo, pois a BAS-IP depende de terceiros para informações, correções e/ou verificação
  • CVSS 3.1 medium (4.0 – 6.9)
    A BAS-IP visa corrigir a vulnerabilidade, tipicamente dentro de 2-3 meses
  • CVSS 3.1 low (0.1 – 3.9)
    A BAS-IP planeja corrigir a vulnerabilidade no próximo lançamento programado
  • Software/serviços suportados
    A fase de suporte do software/serviços BAS-IP é determinada dentro do processo geral do ciclo de vida do software. Os software/serviços BAS-IP são geralmente suportados por 1 ano após o anúncio de fim de vida (end-of-life).

Relatar uma Vulnerabilidade (Reporting a Vulnerability)

A BAS-IP trabalha constantemente para identificar e mitigar os riscos associados às vulnerabilidades em nossos produtos. No entanto, se você descobriu uma vulnerabilidade do sistema de segurança relacionada a um produto, software ou serviço da BAS-IP, recomendamos enfaticamente que você relate o problema imediatamente. O relato oportuno de vulnerabilidades do sistema de segurança é crucial para reduzir a probabilidade de seu uso prático. Vulnerabilidades de segurança relacionadas a componentes de software open-source devem ser relatadas diretamente à organização responsável.

Usuários finais, parceiros, fornecedores, grupos da indústria e pesquisadores independentes que descobriram uma potencial vulnerabilidade são encorajados a relatar suas descobertas para [email protected] ou preenchendo um formulário anônimo.

O relatório submetido deve incluir:

  • Informações técnicas sobre a potencial vulnerabilidade
  • Passos para reproduzir
  • Impacto e severidade estimados em caso de exploração de acordo com CVSS 3.1
  • A própria política de divulgação de vulnerabilidades do pesquisador, se houver

Você pode esperar o seguinte da Empresa BAS-IP:

  • Tempo para a primeira resposta — dentro de 3 dias úteis após o recebimento da mensagem inicial
  • Tempo de processamento (a partir do momento do recebimento da primeira resposta) — dentro de 10 dias úteis
  • Seremos o mais transparentes possível sobre as etapas que tomamos no processo de correção, incluindo perguntas e problemas que possam atrasar a solução
  • Manteremos um diálogo aberto para discutir questões

Divulgação de Vulnerabilidade

Uma vez que o relatório de uma vulnerabilidade descoberta tenha sido examinado e confirmado como genuíno, a BAS-IP inicia o processo de divulgação responsável. A BAS-IP se esforça para colaborar com o pesquisador em relação a detalhes adicionais, como avaliação CVSS 3.1, conteúdo da recomendação de segurança e/ou comunicados de imprensa (se aplicável), e a data de divulgação externa.

Após um acordo entre a Empresa BAS-IP e o pesquisador, a vulnerabilidade será divulgada para fins externos pela Empresa BAS-IP, publicando recomendações de segurança e/ou um comunicado de imprensa.

Histórico de Alterações do Documento

VersãoDataDescrição
1.015.02.2024Primeira versão