Skip to Content
Go back
BAS-IP / Безбедносна политика

Политика откривања рањивости

Опште информације

BAS-IP следи водеће праксе у индустрији у управљању и одговарању на безбедносне рањивости откривене у нашим производима. Немогуће је гарантовати да су производи и услуге које пружа наша компанија потпуно ослобођени рањивости. То није јединствена карактеристика, већ уобичајено стање за сав софтвер и услуге, али можемо гарантовати да ћемо у свим фазама развоја улагати напоре да идентификујемо и елиминишемо потенцијалне рањивости, чиме смањујемо ризик повезан са применом BAS-IP производа и услуга у окружењима клијената.

BAS-IP признаје да неки стандардни мрежни протоколи и услуге могу имати инхерентне слабости које се могу искористити. Иако BAS-IP није одговоран за ове протоколе и услуге, пружамо препоруке за смањење ризика повезаних са BAS-IP производима, софтвером и услугама у облику различитих водича.

Шта политика покрива

Политика управљања рањивостима описана у овом документу примењује се на све производе, софтвер и услуге под брендом BAS-IP.

Шта политика не покрива

Неке рањивости нису покривене BAS-IP политиком управљања рањивостима. Молимо вас да не шаљете извештаје о рањивостима које нису покривене политиком управљања рањивостима на [email protected]:

  • Рањивости које захтевају високе привилегије и/или социјални инжењеринг које се покрећу/извршавају са root/администраторским приступом и/или захтевају сложену интеракцију корисника
  • Преузимање поддомена (Subdomain takeover), на пример, стицање контроле над чвором који показује на тренутно некоришћену услугу
  • Нетачне корисничке конфигурације које се могу спречити праћењем BAS-IP водича
  • Рањивости у садржају или апликацијама које су креирали корисници или партнери трећих страна, као што су апликације које се могу преузети и покренути на BAS-IP уређајима
  • Рањивости Cross-Site Request Forgery (CSRF) или Cross-Site Scripting (XSS) које преваре корисника да посети злонамерну веб локацију или кликне на прикривену везу приликом приступа веб интерфејсу BAS-IP уређаја
  • Рањивости отвореног кода трећих страна регистроване са CVE идентификатором које се налазе у софтверским компонентама или пакетима који се користе у BAS-IP производима, софтверу или услугама. Уобичајени примери таквих софтверских компоненти укључују Линукс кернел, OpenSSL, AOSP и друге
  • Недостатак HTTP(S) безбедносних заглавља, као што је X-Frame-Options
  • Извештаји о рањивостима генерисани од стране скенера мрежне безбедности трећих страна
  • Неподржани производи/софтвер/услуге
  • Тестови мрежног одбијања услуге (DoS или DDoS) или други тестови који ометају приступ систему или подацима или им наносе штету

Обавезе

BAS-IP цени и подстиче напоре истраживача у идентификацији и пријављивању рањивости у BAS-IP производима, софтверу и услугама. Пратећи процес одговорног откривања, BAS-IP тим за безбедност производа ће, у складу са својим могућностима, поштовати интересе истраживача кроз међусобну сарадњу и транспарентност током целог процеса откривања.

BAS-IP Компанија очекује да истраживачи неће откривати рањивости до истека периода од 90 дана или међусобно договореног датума и да ће спроводити истраживање рањивости у законским оквирима, без наношења штете, откривања поверљивости или угрожавања безбедности BAS-IP Компаније, њених партнера и клијената.

VУправљање рањивостима

BAS-IP Компанија процењује рањивости користећи добро познати систем оцењивања CVSS.

Што се тиче рањивости компоненти отвореног кода, BAS-IP може проценити рањивост у зависности од њене значајности у контексту начина на који BAS-IP препоручује имплементацију својих производа, софтвера и услуга. Безбедносне консултације се обично пружају само за рањивости специфичне за BAS-IP.

Расподела приоритета када је рањивост процењена и подлеже отклањању:

  • CVSS 3.1 high/critical (7.0 – 10.0)
    BAS-IP тежи да отклони рањивост пре или у року од 4 недеље након екстерног откривања. За компоненте отвореног кода, временски оквир је обично дужи, јер BAS-IP зависи од спољних страна за информације, поправке и/или верификацију
  • CVSS 3.1 medium (4.0 – 6.9)
    BAS-IP има за циљ да отклони рањивост, обично у року од 2-3 месеца
  • CVSS 3.1 low (0.1 – 3.9)
    BAS-IP планира да отклони рањивост у следећем заказаном издању
  • Подржани софтвер/услуге (Supported software/services)
    Фаза подршке BAS-IP софтвера/услуга одређује се у оквиру целокупног процеса животног циклуса софтвера. BAS-IP софтвер/услуге се обично подржавају 1 годину након објаве о престанку животног века (end-of-life).

Пријављивање рањивости

BAS-IP непрестано ради на идентификацији и ублажавању ризика повезаних са рањивостима у нашим производима. Међутим, ако сте открили рањивост безбедносног система која се односи на производ, софтвер или услугу BAS-IP, снажно препоручујемо да проблем пријавите одмах. Правовремено пријављивање рањивости безбедносног система је пресудно за смањење вероватноће њихове практичне употребе. Безбедносне рањивости које се односе на софтверске компоненте отвореног кода треба пријавити директно одговорној организацији.

Крајњи корисници, партнери, добављачи, индустријске групе и независни истраживачи који су открили потенцијалну рањивост подстичу се да пријаве своја открића на [email protected] или попуњавањем анонимног обрасца.

Послати извештај треба да садржи:

  • Техничке информације о потенцијалној рањивости
  • Кораке за репродукцију
  • Процењени утицај и озбиљност у случају експлоатације према CVSS 3.1
  • Сопствена политика откривања рањивости истраживача, ако постоји

Од BAS-IP Компаније можете очекивати следеће:

  • Време до првог одговора — у року од 3 радна дана након пријема почетне поруке
  • Време обраде (од тренутка пријема првог одговора) — у року од 10 радних дана
  • Бићемо што транспарентнији у вези са корацима које предузимамо у процесу отклањања, укључујући питања и проблеме који могу одложити решење
  • Одржаваћемо отворен дијалог за дискусију о проблемима

Откривање рањивости

Након што је извештај о откривеној рањивости прегледан и потврђен као аутентичан, BAS-IP започиње процес одговорног откривања. BAS-IP настоји да сарађује са истраживачем у вези са даљим детаљима, као што су CVSS 3.1 процена, садржај безбедносних препорука и/или саопштења за јавност (ако је применљиво) и датум екстерног откривања.

Након договора између BAS-IP Компаније и истраживача, рањивост ће бити откривена за спољне сврхе објављивањем безбедносних препорука и/или саопштења за јавност од стране BAS-IP Компаније.

Историја промена документа

ВерзијаДатумОпис
1.015.02.2024Прво издање