Skip to Content
Go back
BAS-IP / Політика безпеки

Політика розкриття інформації про вразливості

Загальна інформація

BAS-IP дотримується провідних галузевих практик в управлінні та реагуванні на вразливості безпеки, виявлені в наших продуктах. Неможливо гарантувати, що продукти та послуги, надані нашою компанією, повністю вільні від вразливостей. Це не є унікальною особливістю, а скоріше, спільною умовою для всього програмного забезпечення та послуг, але ми можемо гарантувати, що на всіх етапах розробки ми докладатимемо зусиль для виявлення та усунення потенційних вразливостей, тим самим зменшуючи ризик, пов’язаний із розгортанням продуктів та послуг BAS-IP у середовищах клієнтів.

BAS-IP визнає, що деякі стандартні мережеві протоколи та послуги можуть мати притаманні їм слабкі місця, які можуть бути використані. Хоча BAS-IP не несе відповідальності за ці протоколи та послуги, ми надаємо рекомендації щодо зниження ризиків, пов’язаних з продуктами, програмним забезпеченням та послугами BAS-IP, у вигляді різноманітних посібників.

Що охоплює Політика

Політика управління вразливостями, описана в цьому документі, застосовується до всіх продуктів, програмного забезпечення та послуг під брендом BAS-IP.

Що Політика не охоплює

Деякі вразливості не покриваються політикою управління вразливостями BAS-IP. Будь ласка, не надсилайте звіти про вразливості, які не покриваються політикою управління вразливостями, на адресу [email protected]:

  • Вразливості, що вимагають високих привілеїв та/або соціальної інженерії, які спрацьовують/виконуються з root/адміністраторським доступом та/або вимагають складної взаємодії з користувачем
  • Захоплення субдомену (Subdomain takeover), наприклад, отримання контролю над вузлом, що вказує на послугу, яка наразі не використовується
  • Неправильні конфігурації користувачів, які можна запобігти, дотримуючись посібників BAS-IP
  • Вразливості в контенті або додатках, створених сторонніми користувачами або партнерами, таких як програми, які можна завантажити та запустити на пристроях BAS-IP
  • Вразливості Cross-Site Request Forgery (CSRF) або Cross-Site Scripting (XSS), які обманом змушують користувача відвідати шкідливий веб-сайт або натиснути на замасковане посилання при доступі до веб-інтерфейсу пристроїв BAS-IP
  • Уразливості стороннього відкритого вихідного коду, зареєстровані з ідентифікатором CVE, розташовані в програмних компонентах або пакетах, що використовуються в продуктах, програмному забезпеченні або послугах BAS-IP. Загальні приклади таких програмних компонентів включають ядро Linux, OpenSSL, AOSP та інші
  • Відсутність заголовків безпеки HTTP(S), таких як X-Frame-Options
  • Звіти про вразливості, згенеровані сторонніми сканерами мережевої безпеки
  • Непідтримувані продукти/програмне забезпечення/послуги
  • Тести Мережевої відмови в обслуговуванні (DoS або DDoS) або інші тести, які порушують доступ до системи або даних, або завдають їм шкоди

Зобов’язання

BAS-IP цінує та заохочує зусилля дослідників щодо виявлення та повідомлення про вразливості в продуктах, програмному забезпеченні та послугах BAS-IP. Дотримуючись процесу відповідального розкриття інформації, команда безпеки продуктів BAS-IP, у міру своїх можливостей, буде поважати інтереси дослідників через взаємну співпрацю та прозорість протягом усього процесу розкриття.

Компанія BAS-IP очікує, що дослідники не розкриватимуть вразливості до закінчення 90-денного періоду або взаємно узгодженої дати та проводитимуть дослідження вразливостей в межах правового поля, не завдаючи шкоди, не розкриваючи конфіденційності та не ставлячи під загрозу безпеку Компанії BAS-IP, її партнерів та клієнтів.

Vulnerability Management

Управління вразливостями

Компанія BAS-IP оцінює вразливості за допомогою загальновідомої системи рейтингу CVSS.

Що стосується вразливостей компонентів з відкритим вихідним кодом, BAS-IP може оцінювати вразливість залежно від її значущості в контексті того, як BAS-IP рекомендує впроваджувати свої продукти, програмне забезпечення та послуги. Консультації з безпеки зазвичай надаються лише для вразливостей, специфічних для BAS-IP.

Пріоритетний розподіл, коли вразливість оцінена та підлягає усуненню:

  • CVSS 3.1 high/critical (7.0 – 10.0)
    BAS-IP прагне усунути вразливість до або протягом 4 тижнів після зовнішнього розкриття. Для компонентів з відкритим вихідним кодом терміни, як правило, довші, оскільки BAS-IP залежить від зовнішніх сторін щодо інформації, виправлень та/або перевірки
  • CVSS 3.1 medium (4.0 – 6.9)
    BAS-IP прагне усунути вразливість, зазвичай, протягом 2–3 місяців
  • CVSS 3.1 low (0.1 – 3.9)
    BAS-IP планує усунути вразливість у наступному запланованому випуску
  • Підтримуване програмне забезпечення/послуги
    Етап підтримки програмного забезпечення/послуг BAS-IP визначається в рамках загального процесу життєвого циклу програмного забезпечення. Програмне забезпечення/послуги BAS-IP зазвичай підтримуються протягом 1 року після оголошення про закінчення терміну служби (end-of-life).

Повідомлення про вразливість

BAS-IP постійно працює над виявленням та зниженням ризиків, пов’язаних із вразливостями в наших продуктах. Однак, якщо ви виявили вразливість системи безпеки, пов’язану з продуктом, програмним забезпеченням або послугою BAS-IP, ми наполегливо рекомендуємо вам негайно повідомити про проблему. Своєчасне повідомлення про вразливості системи безпеки є вирішальним для зниження ймовірності їх практичного використання. Про вразливості безпеки, пов’язані з компонентами програмного забезпечення з відкритим вихідним кодом, слід повідомляти безпосередньо відповідальній організації.

Кінцевим користувачам, партнерам, постачальникам, галузевим групам та незалежним дослідникам, які виявили потенційну вразливість, рекомендується повідомляти про свої знахідки на [email protected] або шляхом заповнення анонімної форми.

Надісланий звіт повинен включати:

  • Технічну інформацію про потенційну вразливість
  • Кроки для відтворення
  • Оціночний вплив та ступінь тяжкості у разі експлуатації згідно з CVSS 3.1
  • Власну політику розкриття вразливостей дослідника, якщо така є

Від Компанії BAS-IP ви можете очікувати наступного:

  • Час першої відповіді — протягом 3 робочих днів після отримання початкового повідомлення
  • Час обробки (з моменту отримання першої відповіді) — протягом 10 робочих днів
  • Ми будемо максимально прозорими щодо кроків, які ми вживаємо в процесі усунення, включаючи питання та проблеми, які можуть затримати рішення
  • Ми підтримуватимемо відкритий діалог для обговорення питань

Розкриття інформації про вразливість

Після того, як звіт про виявлену вразливість буде розглянуто та підтверджено як справжній, BAS-IP починає процес відповідального розкриття інформації. BAS-IP прагне співпрацювати з дослідником щодо подальших деталей, таких як оцінка CVSS 3.1, зміст рекомендації з безпеки та/або прес-релізи (якщо застосовно), а також дата зовнішнього розкриття.

Після узгодження між Компанією BAS-IP та дослідником, розкриття вразливості для зовнішніх цілей буде здійснюватися Компанією BAS-IP шляхом публікації рекомендацій з безпеки та/або прес-релізу.

Історія змін документа

ВерсіяДатаОпис
1.015.02.2024Перший випуск