Skip to Content
Go back
BAS-IP / Chính sách bảo mật

Chính sách công bố lỗ hổng bảo mật

Thông tin chung

BAS-IP tuân thủ các thực tiễn hàng đầu trong ngành về quản lý và phản hồi các lỗ hổng bảo mật được phát hiện trong các sản phẩm của chúng tôi. Không thể đảm bảo rằng các sản phẩm và dịch vụ do công ty chúng tôi cung cấp hoàn toàn không có lỗ hổng. Đây không phải là một đặc điểm riêng biệt, mà là một điều kiện chung cho tất cả các phần mềm và dịch vụ, nhưng chúng tôi có thể đảm bảo rằng ở tất cả các giai đoạn phát triển, chúng tôi sẽ nỗ lực để xác định và loại bỏ các lỗ hổng tiềm ẩn, từ đó giảm thiểu rủi ro liên quan đến việc triển khai các sản phẩm và dịch vụ của BAS-IP trong môi trường khách hàng.

BAS-IP nhận ra rằng một số giao thức và dịch vụ mạng tiêu chuẩn có thể có những điểm yếu cố hữu có thể bị khai thác. Mặc dù BAS-IP không chịu trách nhiệm về các giao thức và dịch vụ này, chúng tôi cung cấp các khuyến nghị để giảm thiểu rủi ro liên quan đến các sản phẩm, phần mềm và dịch vụ của BAS-IP dưới dạng các hướng dẫn khác nhau.

Phạm vi áp dụng của Chính sách

Chính sách quản lý lỗ hổng được mô tả trong tài liệu này áp dụng cho tất cả các sản phẩm, phần mềm và dịch vụ mang thương hiệu BAS-IP.

Những điểm Chính sách không bao gồm

Một số lỗ hổng không được đề cập trong chính sách quản lý lỗ hổng của BAS-IP. Vui lòng không gửi các báo cáo lỗ hổng không thuộc phạm vi của chính sách quản lý lỗ hổng tới [email protected]:

  • Các lỗ hổng yêu cầu đặc quyền cao và/hoặc kỹ thuật xã hội được kích hoạt/thực thi bằng quyền truy cập root/quản trị viên và/hoặc yêu cầu tương tác phức tạp của người dùng
  • Chiếm quyền điều khiển tên miền phụ (Subdomain takeover), ví dụ: giành quyền kiểm soát một nút trỏ đến một dịch vụ hiện không được sử dụng
  • Cấu hình người dùng không chính xác có thể được ngăn chặn bằng cách làm theo các hướng dẫn của BAS-IP
  • Các lỗ hổng trong nội dung hoặc ứng dụng do người dùng hoặc đối tác bên thứ ba tạo ra, chẳng hạn như các ứng dụng có thể được tải xuống và chạy trên thiết bị BAS-IP
  • Các lỗ hổng Giả mạo yêu cầu chéo trang (CSRF) hoặc Tấn công kịch bản chéo trang (XSS) lừa người dùng truy cập một trang web độc hại hoặc nhấp vào một liên kết ngụy trang khi truy cập giao diện web của thiết bị BAS-IP
  • Các lỗ hổng open-source của bên thứ ba đã đăng ký với mã định danh CVE nằm trong các thành phần hoặc gói phần mềm được sử dụng trong các sản phẩm, phần mềm hoặc dịch vụ của BAS-IP. Các ví dụ phổ biến của các thành phần phần mềm này bao gồm kernel Linux, OpenSSL, AOSP, và các phần mềm khác
  • Thiếu các header bảo mật HTTP(S), chẳng hạn như X-Frame-Options
  • Các báo cáo lỗ hổng được tạo ra bởi các trình quét bảo mật mạng của bên thứ ba
  • Sản phẩm/phần mềm/dịch vụ không được hỗ trợ
  • Các thử nghiệm Từ chối Dịch vụ Mạng (DoS hoặc DDoS) hoặc các thử nghiệm khác làm gián đoạn quyền truy cập vào hệ thống hoặc dữ liệu hoặc gây hư hỏng cho chúng

Nghĩa vụ

BAS-IP coi trọng và khuyến khích nỗ lực của các nhà nghiên cứu trong việc xác định và báo cáo các lỗ hổng trong các sản phẩm, phần mềm và dịch vụ của BAS-IP. Theo quy trình công bố có trách nhiệm, nhóm bảo mật sản phẩm của BAS-IP sẽ, trong khả năng tốt nhất của họ, tôn trọng lợi ích của các nhà nghiên cứu thông qua sự hợp tác lẫn nhau và tính minh bạch trong suốt quá trình công bố.

Công ty BAS-IP mong đợi rằng các nhà nghiên cứu sẽ không tiết lộ các lỗ hổng cho đến khi hết thời hạn 90 ngày hoặc một ngày được thỏa thuận chung và sẽ tiến hành nghiên cứu lỗ hổng trong phạm vi pháp lý, không gây hại, không tiết lộ thông tin mật hoặc gây nguy hiểm cho an ninh của Công ty BAS-IP, các đối tác và khách hàng của họ.

Quản lý Lỗ hổng

Công ty BAS-IP đánh giá các lỗ hổng bằng cách sử dụng hệ thống xếp hạng CVSS nổi tiếng.

Đối với các lỗ hổng thành phần open-source, BAS-IP có thể đánh giá lỗ hổng tùy thuộc vào tầm quan trọng của nó trong bối cảnh BAS-IP khuyến nghị cách triển khai các sản phẩm, phần mềm và dịch vụ của mình. Các tư vấn bảo mật thường chỉ được cung cấp cho các lỗ hổng cụ thể của BAS-IP.

Phân bổ ưu tiên khi một lỗ hổng đã được đánh giá và cần được khắc phục:

  • CVSS 3.1 high/critical (7.0 – 10.0)
    BAS-IP cố gắng khắc phục lỗ hổng trước hoặc trong vòng 4 tuần sau khi công bố bên ngoài. Đối với các thành phần open-source, khung thời gian thường dài hơn, vì BAS-IP phụ thuộc vào các bên bên ngoài để có thông tin, bản vá và/hoặc xác minh
  • CVSS 3.1 medium (4.0 – 6.9)
    BAS-IP đặt mục tiêu khắc phục lỗ hổng, thường trong vòng 2-3 tháng
  • CVSS 3.1 low (0.1 – 3.9)
    BAS-IP có kế hoạch khắc phục lỗ hổng trong bản phát hành theo lịch trình tiếp theo
  • Phần mềm/dịch vụ được hỗ trợ (Supported software/services)
    Giai đoạn hỗ trợ của phần mềm/dịch vụ BAS-IP được xác định trong quy trình tổng thể của vòng đời phần mềm. Phần mềm/dịch vụ BAS-IP thường được hỗ trợ trong 1 năm sau thông báo kết thúc vòng đời (end-of-life).

Báo cáo Lỗ hổng

BAS-IP không ngừng nỗ lực để xác định và giảm thiểu rủi ro liên quan đến các lỗ hổng trong sản phẩm của chúng tôi. Tuy nhiên, nếu bạn đã phát hiện ra một lỗ hổng hệ thống bảo mật liên quan đến một sản phẩm, phần mềm hoặc dịch vụ của BAS-IP, chúng tôi đặc biệt khuyên bạn nên báo cáo vấn đề ngay lập tức. Việc báo cáo kịp thời các lỗ hổng hệ thống bảo mật là rất quan trọng để giảm khả năng chúng được sử dụng trong thực tế. Các lỗ hổng bảo mật liên quan đến các thành phần phần mềm open-source nên được báo cáo trực tiếp cho tổ chức chịu trách nhiệm.

Người dùng cuối, đối tác, nhà cung cấp, các nhóm ngành và các nhà nghiên cứu độc lập đã phát hiện ra một lỗ hổng tiềm ẩn được khuyến khích báo cáo phát hiện của họ tới [email protected] hoặc bằng cách điền vào mẫu ẩn danh.

Báo cáo đã gửi nên bao gồm:

  • Thông tin kỹ thuật về lỗ hổng tiềm ẩn
  • Các bước để tái tạo
  • Ước tính tác động và mức độ nghiêm trọng trong trường hợp bị khai thác theo CVSS 3.1
  • Chính sách công bố lỗ hổng của riêng nhà nghiên cứu, nếu có

Bạn có thể mong đợi những điều sau từ Công ty BAS-IP:

  • Thời gian phản hồi lần đầu — trong vòng 3 ngày làm việc sau khi nhận được tin nhắn ban đầu
  • Thời gian xử lý (kể từ thời điểm nhận được phản hồi đầu tiên) — trong vòng 10 ngày làm việc
  • Chúng tôi sẽ minh bạch nhất có thể về các bước chúng tôi thực hiện trong quá trình khắc phục, bao gồm các câu hỏi và vấn đề có thể làm chậm giải pháp
  • Chúng tôi sẽ duy trì một cuộc đối thoại cởi mở để thảo luận các vấn đề

Công bố Lỗ hổng

Khi báo cáo về một lỗ hổng được phát hiện đã được xem xét và xác nhận là chính xác, BAS-IP sẽ bắt đầu quá trình công bố có trách nhiệm. BAS-IP cố gắng hợp tác với nhà nghiên cứu về các chi tiết bổ sung, chẳng hạn như đánh giá CVSS 3.1, nội dung khuyến nghị bảo mật và/hoặc thông cáo báo chí (nếu có), và ngày công bố bên ngoài.

Sau khi có thỏa thuận giữa Công ty BAS-IP và nhà nghiên cứu, lỗ hổng sẽ được công bố cho mục đích bên ngoài bằng cách Công ty BAS-IP xuất bản các khuyến nghị bảo mật và/hoặc một thông cáo báo chí.

Lịch sử Thay đổi Tài liệu

Phiên bảnNgàyMô tả
1.015.02.2024Bản phát hành đầu tiên