Skip to Content
Go back
BAS-IP / Varnostna politika

Pravilnik o razkritju ranljivosti

Splošne informacije (General Information)

BAS-IP sledi vodilnim praksam v industriji pri upravljanju in odzivanju na varnostne ranljivosti, odkrite v naših izdelkih. Nemogoče je zagotoviti, da so izdelki in storitve, ki jih ponuja naše podjetje, popolnoma brez ranljivosti. To ni edinstvena lastnost, temveč splošen pogoj za vso programsko opremo in storitve, vendar lahko zagotovimo, da si bomo v vseh fazah razvoja prizadevali identificirati in odpraviti potencialne ranljivosti, s čimer bomo zmanjšali tveganje, povezano z uvajanjem izdelkov in storitev BAS-IP v okoljih strank.

BAS-IP priznava, da imajo nekateri standardni omrežni protokoli in storitve lahko inherentne slabosti, ki jih je mogoče izkoristiti. Čeprav BAS-IP ni odgovoren za te protokole in storitve, nudimo priporočila za zmanjšanje tveganj, povezanih z izdelki, programsko opremo in storitvami BAS-IP, v obliki različnih vodnikov.

Kaj Pokriva Politika

Politika upravljanja ranljivosti, opisana v tem dokumentu, velja za vse izdelke, programsko opremo in storitve pod blagovno znamko BAS-IP.

Kaj Politika Ne Pokriva

Nekatere ranljivosti niso zajete v politiki upravljanja ranljivosti BAS-IP. Prosimo, ne pošiljajte poročil o ranljivostih, ki niso zajete v politiki upravljanja ranljivosti, na [email protected]:

  • Ranljivosti, ki zahtevajo visoke privilegije in/ali socialni inženiring, ki se sprožijo/izvedejo z dostopom root/administratorja in/ali zahtevajo kompleksno interakcijo uporabnika
  • Prevzem poddomene (Subdomain takeover), na primer pridobitev nadzora nad vozliščem, ki kaže na trenutno neuporabljeno storitev
  • Napačne uporabniške konfiguracije, ki jih je mogoče preprečiti z upoštevanjem vodnikov BAS-IP
  • Ranljivosti v vsebini ali aplikacijah, ki so jih ustvarili uporabniki ali partnerji tretjih oseb, kot so aplikacije, ki jih je mogoče prenesti in zagnati na napravah BAS-IP
  • Ranljivosti Cross-Site Request Forgery (CSRF) ali Cross-Site Scripting (XSS), ki prevarajo uporabnika, da obišče zlonamerno spletno stran ali klikne na prikrito povezavo pri dostopu do spletnega vmesnika naprav BAS-IP
  • Ranljivosti odprtokodnih komponent tretjih oseb, registrirane z identifikatorjem CVE, ki se nahajajo v programskih komponentah ali paketih, uporabljenih v izdelkih, programski opremi ali storitvah BAS-IP. Pogosti primeri takšnih programskih komponent vključujejo jedro Linux, OpenSSL, AOSP in druge
  • Pomanjkanje varnostnih glav HTTP(S), kot je X-Frame-Options
  • Poročila o ranljivostih, ki jih ustvarijo skenerji omrežne varnosti tretjih oseb
  • Nepodprti izdelki/programska oprema/storitve
  • Testi zavrnitve storitve omrežja (DoS ali DDoS) ali drugi testi, ki motijo dostop do sistema ali podatkov ali jim povzročajo škodo

Obveznosti

BAS-IP ceni in spodbuja prizadevanja raziskovalcev pri identificiranju in poročanju o ranljivostih v izdelkih, programski opremi in storitvah BAS-IP. V skladu s procesom odgovornega razkritja bo ekipa za varnost izdelkov BAS-IP po svojih najboljših močeh spoštovala interese raziskovalcev z medsebojnim sodelovanjem in preglednostjo skozi celoten proces razkritja.

Podjetje BAS-IP pričakuje, da raziskovalci ne bodo razkrili ranljivosti do izteka 90-dnevnega obdobja ali medsebojno dogovorjenega datuma ter da bodo izvajali raziskave ranljivosti v zakonitih mejah, ne da bi povzročili škodo, razkrili zaupnost ali ogrozili varnost Podjetja BAS-IP, njegovih partnerjev in strank.

Upravljanje Ranljivosti

Podjetje BAS-IP ocenjuje ranljivosti z uporabo dobro znanega sistema ocenjevanja CVSS.

Kar zadeva ranljivosti odprtokodnih komponent, lahko BAS-IP oceni ranljivost glede na njen pomen v kontekstu, kako BAS-IP priporoča implementacijo svojih izdelkov, programske opreme in storitev. Varnostna posvetovanja so običajno zagotovljena samo za ranljivosti, specifične za BAS-IP.

Razporeditev prednostnih nalog, ko je ranljivost ocenjena in je predmet odprave:

  • CVSS 3.1 high/critical (7.0 – 10.0)
    BAS-IP si prizadeva odpraviti ranljivost pred ali v 4 tednih po zunanjem razkritju. Za odprtokodne komponente je časovni okvir običajno daljši, saj je BAS-IP odvisen od zunanjih strank za informacije, popravke in/ali preverjanje
  • CVSS 3.1 medium (4.0 – 6.9)
    BAS-IP si prizadeva odpraviti ranljivost, običajno v 2-3 mesecih
  • CVSS 3.1 low (0.1 – 3.9)
    BAS-IP načrtuje odpravo ranljivosti v naslednji načrtovani izdaji
  • Podprta programska oprema/storitve (Supported software/services)
    Stopnja podpore programske opreme/storitev BAS-IP se določi v okviru celotnega procesa življenjskega cikla programske opreme. Programska oprema/storitve BAS-IP so običajno podprte 1 leto po objavi o koncu življenjske dobe (end-of-life).

Poročanje o Ranljivosti

BAS-IP nenehno dela na prepoznavanju in zmanjševanju tveganj, povezanih z ranljivostmi v naših izdelkih. Če pa ste odkrili ranljivost varnostnega sistema, povezano z izdelkom, programsko opremo ali storitvijo BAS-IP, vam močno priporočamo, da težavo takoj prijavite. Pravočasno poročanje o ranljivostih varnostnega sistema je ključnega pomena za zmanjšanje verjetnosti njihove praktične uporabe. O varnostnih ranljivostih, povezanih z odprtokodnimi programskimi komponentami, je treba poročati neposredno odgovorni organizaciji.

Končne uporabnike, partnerje, dobavitelje, industrijske skupine in neodvisne raziskovalce, ki so odkrili potencialno ranljivost, spodbujamo, da poročajo o svojih ugotovitvah na [email protected] ali z izpolnjevanjem anonimnega obrazca.

Oddano poročilo mora vključevati:

  • Tehnične informacije o potencialni ranljivosti
  • Korake za ponovitev
  • Ocenjeni vpliv in resnost v primeru izkoriščanja v skladu z CVSS 3.1
  • Lastno politiko razkritja ranljivosti raziskovalca, če obstaja

Od Podjetja BAS-IP lahko pričakujete naslednje:

  • Čas do prvega odziva — v 3 delovnih dneh po prejemu začetnega sporočila
  • Čas obdelave (od trenutka prejema prvega odziva) — v 10 delovnih dneh
  • Glede korakov, ki jih izvajamo v procesu odprave, bomo čim bolj pregledni, vključno z vprašanji in težavami, ki bi lahko odložile rešitev
  • Vzdrževali bomo odprt dialog za razpravo o težavah

Razkritje Ranljivosti

Ko je poročilo o odkriti ranljivosti pregledano in potrjeno kot pristno, BAS-IP začne postopek odgovornega razkritja. BAS-IP si prizadeva sodelovati z raziskovalcem glede nadaljnjih podrobnosti, kot so ocena CVSS 3.1, vsebina varnostnih priporočil in/ali sporočila za javnost (če je primerno) ter datum zunanjega razkritja.

Po dogovoru med Podjetjem BAS-IP in raziskovalcem bo ranljivost razkrita za zunanje namene z objavo varnostnih priporočil in/ali sporočila za javnost s strani Podjetja BAS-IP.

Zgodovina Spremembe Dokumenta

RazličicaDatumOpis
1.015.02.2024Prva izdaja