Skip to Content
Go back
BAS-IP / Politica de securitate

Politica de dezvăluire a vulnerabilităților

Informații Generale

BAS-IP urmează practicile de vârf din industrie în gestionarea și răspunsul la vulnerabilitățile de securitate descoperite în produsele noastre. Este imposibil de garantat că produsele și serviciile furnizate de compania noastră sunt complet lipsite de vulnerabilități. Aceasta nu este o caracteristică unică, ci mai degrabă o condiție comună pentru toate programele software și serviciile, dar putem garanta că, în toate etapele de dezvoltare, vom depune eforturi pentru a identifica și elimina potențialele vulnerabilități, reducând astfel riscul asociat cu implementarea produselor și serviciilor BAS-IP în mediile clienților.

BAS-IP recunoaște că unele protocoale și servicii de rețea standard pot avea slăbiciuni inerente care pot fi exploatate. Deși BAS-IP nu este responsabil pentru aceste protocoale și servicii, oferim recomandări pentru reducerea riscurilor asociate cu produsele, software-ul și serviciile BAS-IP sub forma diferitelor ghiduri.

Ce Acoperă Politica

Politica de gestionare a vulnerabilităților descrisă în acest document se aplică tuturor produselor, software-ului și serviciilor sub marca BAS-IP.

Ce Nu Acoperă Politica

Unele vulnerabilități nu sunt acoperite de politica de gestionare a vulnerabilităților BAS-IP. Vă rugăm să nu trimiteți rapoarte de vulnerabilitate care nu sunt acoperite de politica de gestionare a vulnerabilităților la [email protected]:

  • Vulnerabilitățile care necesită privilegii înalte și/sau inginerie socială, care sunt declanșate/executate cu acces root/administrator și/sau necesită interacțiune complexă din partea utilizatorului
  • Prevederea de subdomeniu (Subdomain takeover), de exemplu, obținerea controlului asupra unui nod care indică un serviciu neutilizat în prezent
  • Configurări incorecte ale utilizatorului care pot fi prevenite urmând ghidurile BAS-IP
  • Vulnerabilități în conținut sau aplicații create de utilizatori sau parteneri terți, cum ar fi aplicațiile care pot fi descărcate și rulate pe dispozitive BAS-IP
  • Vulnerabilități Cross-Site Request Forgery (CSRF) sau Cross-Site Scripting (XSS) care păcălesc utilizatorul să viziteze un site web malițios sau să facă clic pe un link deghizat la accesarea interfeței web a dispozitivelor BAS-IP
  • Vulnerabilități open-source de la terți înregistrate cu un identificator CVE, situate în componente software sau pachete utilizate în produsele, software-ul sau serviciile BAS-IP. Exemple comune de astfel de componente software includ nucleul Linux, OpenSSL, AOSP și altele
  • Lipsa antetelor de securitate HTTP(S), cum ar fi X-Frame-Options
  • Rapoarte de vulnerabilitate generate de scanere de securitate de rețea de la terți
  • Produse/software/servicii neacceptate
  • Teste de Refuz de Serviciu de Rețea (DoS sau DDoS) sau alte teste care perturbă accesul la sistem sau date sau le provoacă daune

Obligații

BAS-IP prețuiește și încurajează eforturile cercetătorilor în identificarea și raportarea vulnerabilităților în produsele, software-ul și serviciile BAS-IP. Urmând procesul de divulgare responsabilă, echipa de securitate a produselor BAS-IP va respecta, pe cât posibil, interesele cercetătorilor prin cooperare reciprocă și transparență pe tot parcursul procesului de divulgare.

Compania BAS-IP se așteaptă ca cercetătorii să nu divulge vulnerabilitățile până la expirarea perioadei de 90 de zile sau a unei date convenite reciproc și să efectueze cercetarea vulnerabilităților în limite legale, fără a provoca daune, a divulga confidențialitate sau a pune în pericol securitatea Companiei BAS-IP, a partenerilor și a clienților săi.

Gestionarea Vulnerabilităților (Vulnerability Management)

Compania BAS-IP evaluează vulnerabilitățile utilizând sistemul de evaluare CVSS binecunoscut.

În ceea ce privește vulnerabilitățile componentelor open-source, BAS-IP poate evalua vulnerabilitatea în funcție de semnificația acesteia în contextul modului în care BAS-IP recomandă implementarea produselor, software-ului și serviciilor sale. Consultațiile de securitate sunt de obicei furnizate numai pentru vulnerabilitățile specifice BAS-IP.

Distribuția priorităților atunci când o vulnerabilitate a fost evaluată și este supusă remedierii:

  • CVSS 3.1 high/critical (7.0 – 10.0)
    BAS-IP se străduiește să remedieze vulnerabilitatea înainte sau în decurs de 4 săptămâni după divulgarea externă. Pentru componentele open-source, termenul este de obicei mai lung, deoarece BAS-IP depinde de părți externe pentru informații, remedieri și/sau verificare
  • CVSS 3.1 medium (4.0 – 6.9)
    BAS-IP urmărește să remedieze vulnerabilitatea, de obicei în decurs de 2-3 luni
  • CVSS 3.1 low (0.1 – 3.9)
    BAS-IP plănuiește să remedieze vulnerabilitatea în următoarea lansare programată
  • Software/Servicii Acceptate
    Etapa de suport a software-ului/serviciilor BAS-IP este determinată în cadrul procesului general al ciclului de viață al software-ului. Software-ul/serviciile BAS-IP sunt de obicei acceptate timp de 1 an după anunțul de sfârșit de viață (end-of-life).

Raportarea unei Vulnerabilități (Reporting a Vulnerability)

BAS-IP lucrează constant pentru a identifica și atenua riscurile asociate cu vulnerabilitățile în produsele noastre. Cu toate acestea, dacă ați descoperit o vulnerabilitate a sistemului de securitate legată de un produs, software sau serviciu BAS-IP, vă recomandăm insistent să raportați problema imediat. Raportarea la timp a vulnerabilităților sistemului de securitate este crucială pentru reducerea probabilității utilizării lor practice. Vulnerabilitățile de securitate legate de componentele software open-source ar trebui raportate direct organizației responsabile.

Utilizatorii finali, partenerii, furnizorii, grupurile din industrie și cercetătorii independenți care au descoperit o potențială vulnerabilitate sunt încurajați să raporteze descoperirile lor la [email protected] sau prin completarea unui formular anonim.

Raportul trimis ar trebui să includă:

  • Informații tehnice despre potențiala vulnerabilitate
  • Pașii de reproducere
  • Impactul și severitatea estimate în cazul exploatării conform CVSS 3.1
  • Propria politică de divulgare a vulnerabilităților a cercetătorului, dacă există

Vă puteți aștepta la următoarele de la Compania BAS-IP:

  • Timpul până la primul răspuns — în decurs de 3 zile lucrătoare de la primirea mesajului inițial
  • Timpul de procesare (din momentul primirii primului răspuns) — în decurs de 10 zile lucrătoare
  • Vom fi cât mai transparenți posibil cu privire la pașii pe care îi întreprindem în procesul de remediere, inclusiv întrebările și problemele care ar putea întârzia soluția
  • Vom menține un dialog deschis pentru a discuta problemele

Divulgarea Vulnerabilității

Odată ce raportul unei vulnerabilități descoperite a fost examinat și confirmat ca fiind autentic, BAS-IP începe procesul de divulgare responsabilă. BAS-IP se străduiește să colaboreze cu cercetătorul cu privire la detalii suplimentare, cum ar fi evaluarea CVSS 3.1, conținutul recomandării de securitate și/sau comunicatele de presă (dacă este cazul) și data divulgării externe.

După un acord între Compania BAS-IP și cercetător, vulnerabilitatea va fi divulgată în scopuri externe de către Compania BAS-IP prin publicarea de recomandări de securitate și/sau un comunicat de presă.

Istoricul Modificărilor Documentului

VersiuneDataDescriere
1.015.02.2024Prima lansare