Skip to Content
Go back
BAS-IP / Säkerhetspolicy

Policy för sårbarhetsinformation

Allmän Information

BAS-IP följer branschledande metoder för att hantera och svara på säkerhetsbrister som upptäcks i våra produkter. Det är omöjligt att garantera att de produkter och tjänster som tillhandahålls av vårt företag är helt fria från sårbarheter. Detta är inte en unik egenskap, utan snarare ett vanligt villkor för all programvara och alla tjänster, men vi kan garantera att vi i alla utvecklingsstadier kommer att göra ansträngningar för att identifiera och eliminera potentiella sårbarheter, och därmed minska risken i samband med driftsättning av BAS-IPs produkter och tjänster i kundmiljöer.

BAS-IP erkänner att vissa standardnätverksprotokoll och tjänster kan ha inneboende svagheter som kan utnyttjas. Även om BAS-IP inte är ansvarig för dessa protokoll och tjänster, tillhandahåller vi rekommendationer för att minska riskerna i samband med BAS-IPs produkter, programvara och tjänster i form av olika guider.

Vad Policyn Täcker

Policyn för sårbarhetshantering som beskrivs i detta dokument gäller för alla produkter, programvara och tjänster under varumärket BAS-IP.

Vad Policyn Inte Täcker

Vissa sårbarheter täcks inte av BAS-IPs policy för sårbarhetshantering. Vänligen skicka inte sårbarhetsrapporter som inte täcks av sårbarhetshanteringspolicyn till [email protected]:

  • Sårbarheter som kräver höga privilegier och/eller social ingenjörskonst som utlöses/utförs med root/administratörsåtkomst och/eller kräver komplex användarinteraktion
  • Övertagande av underdomän (Subdomain takeover), till exempel att få kontroll över en nod som pekar på en tjänst som för närvarande inte används
  • Felaktiga användarkonfigurationer som kan förhindras genom att följa BAS-IPs guider
  • Sårbarheter i innehåll eller applikationer skapade av tredjepartsanvändare eller partners, såsom applikationer som kan laddas ner och köras på BAS-IP-enheter
  • Sårbarheter för Cross-Site Request Forgery (CSRF) eller Cross-Site Scripting (XSS) som lurar användaren att besöka en skadlig webbplats eller klicka på en förklädd länk när de går in på BAS-IP-enheternas webbgränssnitt
  • Tredjeparts sårbarheter i öppen källkod registrerade med en CVE-identifierare som finns i programvarukomponenter eller paket som används i BAS-IPs produkter, programvara eller tjänster. Vanliga exempel på sådana programvarukomponenter inkluderar Linux-kärnan, OpenSSL, AOSP och andra
  • Brist på HTTP(S) säkerhetsrubriker, som X-Frame-Options
  • Sårbarhetsrapporter genererade av tredjeparts nätverkssäkerhetsskannrar
  • Produkter/programvara/tjänster som inte stöds
  • Tester av nätverksangrepp för nekad tjänst (DoS eller DDoS) eller andra tester som stör åtkomsten till systemet eller data eller orsakar skada på dem

Åtaganden

BAS-IP värdesätter och uppmuntrar forskares ansträngningar att identifiera och rapportera sårbarheter i BAS-IPs produkter, programvara och tjänster. I enlighet med processen för ansvarsfullt avslöjande kommer BAS-IPs produktsäkerhetsteam, efter bästa förmåga, att respektera forskarnas intressen genom ömsesidigt samarbete och transparens under hela avslöjandeprocessen.

BAS-IP Company förväntar sig att forskare inte kommer att avslöja sårbarheter förrän efter utgången av 90-dagarsperioden eller ett ömsesidigt överenskommet datum och att de kommer att bedriva sårbarhetsforskning inom lagliga gränser, utan att orsaka skada, avslöja konfidentiell information eller äventyra säkerheten för BAS-IP Company, dess partners och kunder.

Sårbarhetshantering

BAS-IP Company bedömer sårbarheter med hjälp av det välkända CVSS-klassificeringssystemet.

När det gäller sårbarheter i komponenter med öppen källkod kan BAS-IP bedöma sårbarheten beroende på dess betydelse i samband med hur BAS-IP rekommenderar att implementera sina produkter, programvara och tjänster. Säkerhetskonsultationer tillhandahålls vanligtvis endast för sårbarheter som är specifika för BAS-IP.

Prioritetsfördelning när en sårbarhet har bedömts och ska åtgärdas:

  • CVSS 3.1 high/critical (7.0 – 10.0)
    BAS-IP strävar efter att åtgärda sårbarheten före eller inom 4 veckor efter externt avslöjande. För komponenter med öppen källkod är tidsramen vanligtvis längre, eftersom BAS-IP är beroende av externa parter för information, korrigeringar och/eller verifiering
  • CVSS 3.1 medium (4.0 – 6.9)
    BAS-IP strävar efter att åtgärda sårbarheten, vanligtvis inom 2-3 månader
  • CVSS 3.1 low (0.1 – 3.9)
    BAS-IP planerar att åtgärda sårbarheten i nästa schemalagda utgåva
  • Programvara/tjänster som stöds
    Supportstadiet för BAS-IPs programvara/tjänster bestäms inom den övergripande livscykelprocessen för programvara. BAS-IPs programvara/tjänster stöds vanligtvis i 1 år efter tillkännagivandet om end-of-life (slutet på livslängden).

Rapportering av en Sårbarhet

BAS-IP arbetar ständigt med att identifiera och mildra riskerna i samband med sårbarheter i våra produkter. Men om du har upptäckt en sårbarhet i säkerhetssystemet relaterad till en produkt, programvara eller tjänst från BAS-IP, rekommenderar vi starkt att du rapporterar problemet omedelbart. Snabb rapportering av sårbarheter i säkerhetssystemet är avgörande för att minska sannolikheten för deras praktiska användning. Säkerhetsbrister relaterade till programvarukomponenter med öppen källkod bör rapporteras direkt till den ansvariga organisationen.

Slutanvändare, partners, leverantörer, branschgrupper och oberoende forskare som har upptäckt en potentiell sårbarhet uppmanas att rapportera sina fynd till [email protected] eller genom att fylla i ett anonymt formulär.

Den inskickade rapporten bör inkludera:

  • Teknisk information om den potentiella sårbarheten
  • Steg för att återskapa
  • Beräknad påverkan och allvarlighetsgrad i händelse av utnyttjande enligt CVSS 3.1
  • Forskarens egen policy för sårbarhetsavslöjande, om sådan finns

Du kan förvänta dig följande från BAS-IP Company:

  • Tid till första svar — inom 3 arbetsdagar efter mottagandet av det första meddelandet
  • Handläggningstid (från det att det första svaret mottas) — inom 10 arbetsdagar
  • Vi kommer att vara så transparenta som möjligt om de steg vi tar i åtgärdsprocessen, inklusive frågor och problem som kan försena lösningen
  • Vi kommer att upprätthålla en öppen dialog för att diskutera frågor

Avslöjande av Sårbarhet

När rapporten om en upptäckt sårbarhet har undersökts och bekräftats vara äkta, påbörjar BAS-IP processen för ansvarsfullt avslöjande. BAS-IP strävar efter att samarbeta med forskaren angående ytterligare detaljer, såsom CVSS 3.1-bedömning, innehåll i säkerhetsrekommendationen och/eller pressmeddelanden (om tillämpligt), och datumet för externt avslöjande.

Efter en överenskommelse mellan BAS-IP Company och forskaren kommer sårbarheten att avslöjas för externa ändamål genom att BAS-IP Company publicerar säkerhetsrekommendationer och/eller ett pressmeddelande.

Dokumentets Ändringshistorik

VersionDatumBeskrivning
1.015.02.2024Första utgåva