Skip to Content
Go back
BAS-IP / Security policy

Политика раскрытия информации об уязвимостях

Общая информация

BAS-IP следует передовым отраслевым практикам в управлении и реагировании на уязвимости безопасности, обнаруженные в наших продуктах. Невозможно гарантировать, что продукты и услуги, предоставляемые нашей компанией, полностью свободны от уязвимостей. Это не является уникальной особенностью, а, скорее, общим условием для всего программного обеспечения и услуг, но мы можем гарантировать, что на всех этапах разработки мы будем прилагать усилия для выявления и устранения потенциальных уязвимостей, тем самым снижая риск, связанный с развертыванием продуктов и услуг BAS-IP в средах клиентов.

BAS-IP признает, что некоторые стандартные сетевые протоколы и сервисы могут иметь внутренние слабые места, которые могут быть использованы. Хотя BAS-IP не несет ответственности за эти протоколы и сервисы, мы предоставляем рекомендации по снижению рисков, связанных с продуктами, программным обеспечением и услугами BAS-IP, в виде различных руководств.

Что охватывает Политика

Политика управления уязвимостями, описанная в этом документе, распространяется на все продукты, программное обеспечение и услуги под брендом BAS-IP.

Что Политика не охватывает

Некоторые уязвимости не покрываются политикой управления уязвимостями BAS-IP. Пожалуйста, не отправляйте отчеты об уязвимостях, которые не покрываются политикой управления уязвимостями, на адрес [email protected]:

  • Уязвимости, требующие высоких привилегий и/или социальной инженерии, которые срабатывают/выполняются с root/административным доступом и/или требуют сложного взаимодействия с пользователем
  • Захват поддомена (Subdomain takeover), например, получение контроля над узлом, указывающим на неиспользуемый в настоящее время сервис
  • Неправильные конфигурации пользователей, которые можно предотвратить, следуя руководствам BAS-IP
  • Уязвимости в контенте или приложениях, созданных сторонними пользователями или партнерами, таких как приложения, которые можно загружать и запускать на устройствах BAS-IP
  • Уязвимости Cross-Site Request Forgery (CSRF) или Cross-Site Scripting (XSS), которые обманом заставляют пользователя посетить вредоносный веб-сайт или нажать на замаскированную ссылку при доступе к веб-интерфейсу устройств BAS-IP
  • Уязвимости стороннего открытого исходного кода, зарегистрированные с идентификатором CVE, расположенные в программных компонентах или пакетах, используемых в продуктах, программном обеспечении или услугах BAS-IP. Общие примеры таких программных компонентов включают ядро Linux, OpenSSL, AOSP и другие
  • Отсутствие заголовков безопасности HTTP(S), таких как X-Frame-Options
  • Отчеты об уязвимостях, сгенерированные сторонними сканерами сетевой безопасности
  • Неподдерживаемые продукты/программное обеспечение/услуги
  • Тесты Сетевого отказа в обслуживании (DoS или DDoS) или другие тесты, нарушающие доступ к системе или данным или причиняющие им ущерб

Обязательства

BAS-IP ценит и поощряет усилия исследователей по выявлению и сообщению об уязвимостях в продуктах, программном обеспечении и услугах BAS-IP. Следуя процессу ответственного раскрытия информации, команда по безопасности продуктов BAS-IP, в меру своих возможностей, будет уважать интересы исследователей посредством взаимного сотрудничества и прозрачности на протяжении всего процесса раскрытия.

Компания BAS-IP ожидает, что исследователи не будут раскрывать уязвимости до истечения 90-дневного периода или взаимно согласованной даты и будут проводить исследование уязвимостей в рамках правового поля, не причиняя вреда, не раскрывая конфиденциальность и не ставя под угрозу безопасность Компании BAS-IP, ее партнеров и клиентов.

Управление уязвимостями

Компания BAS-IP оценивает уязвимости с помощью общеизвестной системы рейтинга CVSS.

Что касается уязвимостей компонентов с открытым исходным кодом, BAS-IP может оценивать уязвимость в зависимости от ее значимости в контексте того, как BAS-IP рекомендует внедрять свои продукты, программное обеспечение и услуги. Консультации по безопасности обычно предоставляются только для уязвимостей, специфичных для BAS-IP.

Приоритетное распределение, когда уязвимость оценена и подлежит устранению:

  • CVSS 3.1 high/critical (7.0 – 10.0)
  • BAS-IP стремится устранить уязвимость до или в течение 4 недель после внешнего раскрытия. Для компонентов с открытым исходным кодом сроки обычно больше, поскольку BAS-IP зависит от внешних сторон в отношении информации, исправлений и/или проверки
  • CVSS 3.1 medium (4.0 – 6.9)
  • BAS-IP стремится устранить уязвимость, как правило, в течение 2–3 месяцев
  • CVSS 3.1 low (0.1 – 3.9)
  • BAS-IP планирует устранить уязвимость в следующем запланированном выпуске
  • Поддерживаемое программное обеспечение/услуги
    Этап поддержки программного обеспечения/услуг BAS-IP определяется в рамках общего процесса жизненного цикла программного обеспечения. Программное обеспечение/услуги BAS-IP обычно поддерживаются в течение 1 года после объявления об окончании срока службы (end-of-life).

Сообщение об уязвимости

BAS-IP постоянно работает над выявлением и снижением рисков, связанных с уязвимостями в наших продуктах. Однако, если вы обнаружили уязвимость системы безопасности, связанную с продуктом, программным обеспечением или услугой BAS-IP, мы настоятельно рекомендуем вам немедленно сообщить о проблеме. Своевременное сообщение об уязвимостях системы безопасности имеет решающее значение для снижения вероятности их практического использования. Об уязвимостях безопасности, связанных с компонентами программного обеспечения с открытым исходным кодом, следует сообщать непосредственно ответственной организации.

Конечным пользователям, партнерам, поставщикам, отраслевым группам и независимым исследователям, обнаружившим потенциальную уязвимость, рекомендуется сообщать о своих находках на [email protected] или путем заполнения анонимной формы.

Отправленный отчет должен включать:

  • Техническую информацию о потенциальной уязвимости
  • Шаги для воспроизведения
  • Оценочное воздействие и степень тяжести в случае эксплуатации согласно CVSS 3.1
  • Собственную политику раскрытия уязвимостей исследователя, если таковая имеется

От Компании BAS-IP вы можете ожидать следующего:

  • Время первого ответа — в течение 3 рабочих дней после получения первоначального сообщения
  • Время обработки (с момента получения первого ответа) — в течение 10 рабочих дней
  • Мы будем максимально прозрачны в отношении шагов, которые мы предпринимаем в процессе устранения, включая вопросы и проблемы, которые могут задержать решение
  • Мы будем поддерживать открытый диалог для обсуждения вопросов

Раскрытие информации об уязвимости

После того как сообщение об обнаруженной уязвимости будет рассмотрено и подтверждено как подлинное, BAS-IP начинает процесс ответственного раскрытия информации. BAS-IP стремится сотрудничать с исследователем в отношении дальнейших деталей, таких как оценка CVSS 3.1, содержание рекомендации по безопасности и/или пресс-релизы (если применимо), а также дата внешнего раскрытия.

После согласования между Компанией BAS-IP и исследователем, раскрытие уязвимости для внешних целей будет осуществляться Компанией BAS-IP путем публикации рекомендаций по безопасности и/или пресс-релиза.

История изменений документа

ВерсияДатаОписание
1.015.02.2024Первый выпуск