Contacter PSIRT pour Trellix et Skyhigh SecuritySoumettre des rapports de vulnérabilité de sécurité via
HackerOne.
Pour d'autres questions, vous pouvez contacter l'équipe par e-mail à l'adresse
trellixpsirt@trellix.com.
Énoncés de politique du PSIRT
- Actionnable
Nous n'annoncerons pas publiquement les vulnérabilités des produits ou des logiciels sans une solution de contournement, une mise à jour, un correctif ou une mise à jour de version exploitable. Sinon, nous informerions la communauté des hackers que nos produits sont une cible, ce qui exposerait nos clients à un plus grand risque. Pour les vulnérabilités faisant l'objet d'une attention médiatique majeure, telles que Log4j, nous publierons un bulletin de sécurité enregistré indiquant notre prise de conscience et nos actions. Ce bulletin de sécurité est réservé à nos clients.
- Pas de favoris
Nous divulguons les vulnérabilités des produits à tous les clients, en même temps.
- Découvreurs
Nous accordons du crédit aux découvreurs de vulnérabilités uniquement si les éléments suivants sont satisfaits :
- Ils veulent être identifiés comme découvreurs.
- Ils n'ont pas rendu leurs recherches publiques ni partagées avec d'autres parties avant la publication du bulletin de sécurité ou de l'article de la base de connaissances (KB) traitant du problème.
- Ils n'ont pas utilisé leurs recherches pour attaquer nos produits ou services impactés, ou tout client les utilisant.
- Accordez à nos clients un délai raisonnable après la publication du correctif avant de publier d'autres détails qui pourraient aider un attaquant (par exemple, publier un PoC ou une analyse détaillée du problème)
REMARQUE : Les organisations, les individus ou les deux peuvent être identifiés comme découvreurs.
Notation CVSS (Common Vulnerability Scoring System) Nous utilisons la version CVSS la plus récente CVSS v3.1.
Tous les bulletins de sécurité doivent inclure les scores CVSS pour chaque vulnérabilité et les vecteurs CVSS associés. Le score de base est nécessaire. Les scores environnementaux et temporels sont facultatifs. Idéalement, les scores de base doivent correspondre aux scores que le National Institute of Standards and Technology (NIST) attribue aux CVE.
E-mails du service de notification d'assistance (SNS)Un e-mail SNS est nécessaire pour tous les bulletins de sécurité. Pour vous abonner aux e-mails SNS, accédez au
site Préférences d'abonnement SNS.
Politique de réponse Notre réponse aux correctifs et aux alertes dépend du score de base CVSS le plus élevé :
Priorité (sécurité) |
Score CVSS |
Réponse de correction typique* |
SNS |
P1-Critical |
9.0–10 Critique |
HotFix |
Alerte |
P2-High |
7.0–8.9 Haut |
Mise à jour |
Avis |
P3-Medium |
4.0–6.9 Moyen |
Mise à jour |
Avis |
P4-Low |
0.0–3.9 Faible |
Mise à jour de version |
Facultatif |
P5-Info |
0.0 |
Ne répare pas ; informatif |
N/D |
* |
La réponse au correctif est basée sur la gravité de la vulnérabilité, le cycle de vie du produit et la faisabilité d'un correctif. La réponse de correctif typique décrite ci-dessus n'est pas un engagement à produire un correctif, une mise à jour ou une mise à jour de version pour toutes les versions de produit prises en charge. |
Mécanismes de communication externe Notre mécanisme de communication externe dépend du score de base CVSS, du nombre de demandes des clients et de l'attention des médias :
- Bulletin de sécurité (4–10)
- Article de la base de connaissances (2–4)
- Déclaration de soutien (0–4)
- Pas nécessaire (0)
|
CVSS 0 Faible |
CVSS 0–3.9 Faible |
CVSS 4.0–6.9 Moyen |
CVSS 7.0–10 Élevé |
Divulgation externe (CVE)* |
Article de la base de connaissances en cas de demandes multiples ; sinon pas besoin |
Article de la base de connaissances |
Bulletin de sécurité et SNS |
Bulletin de sécurité et SNS |
Divulgation par le client |
Déclaration de soutien |
Déclaration de soutien |
Bulletin de sécurité et SNS |
Bulletin de sécurité et SNS |
Divulgation interne |
Pas besoin |
Documenter dans les notes de version |
Bulletin de sécurité (post-version) et document dans les notes de version |
Bulletin de sécurité (post-version) et document dans les notes de version |
*Par défaut, nous n'émettons pas de CVE pour les problèmes dont le score est inférieur4.0.
aux scénarios de crise . Pour les vulnérabilités de haute gravité connues publiquement qui affectent plusieurs produits, nous pouvons publier un bulletin de sécurité avec une mise à jour pour un produit, puis mettre à jour le bulletin de sécurité en tant que mises à jour. et les descriptions d'autres produits deviennent disponibles.
Les bulletins de sécurité avec plusieurs produits vulnérables répertorient tous les produits dans les catégories suivantes :
- Vulnérable et mis à jour
- Vulnérable et pas encore mis à jour
- Vulnérable avec un risque mineur (étant donné les meilleures pratiques en matière de déploiements standard)
- Non vulnérable
- En cours d'investigation (facultatif)
Nous ne publions généralement pas de bulletins de sécurité le vendredi après-midi, sauf en cas de scénario de crise.
Vulnérabilité vs. Scores de risque
Nous participons au système de notation de vulnérabilité CVSS standard de l'industrie. Les scores CVSS doivent être considérés comme un point de départ pour déterminer le risque qu'une vulnérabilité particulière pourrait poser à nos clients. Le score CVSS ne doit pas être confondu avec une cote de risque de la gravité des vulnérabilités qui pourraient survenir dans nos produits ou les environnements d'exécution associés sur lesquels nos produits s'exécutent.
Le score CVSS de base détermine notre réponse initiale à un incident donné.
Les bulletins de sécurité avec plusieurs produits vulnérables répertorient tous les produits par catégorie. La liste ci-dessous décrit ce que chacune des catégories signifie en termes d'impact potentiel sur les clients :
- Vulnérable: un produit contient une vulnérabilité vérifiée. La vulnérabilité pose un certain risque pour les clients. Le score CVSS associé peut être considéré comme une indication de la gravité de l'impact de l'exploitation de la vulnérabilité dans des scénarios de déploiement typiques.
- Non vulnérable—Un produit ne contient pas la vulnérabilité ou la présence d'un composant vulnérable ne peut en aucun cas être exploité. L'utilisation du produit ne présente aucun risque supplémentaire pour les clients.
- Vulnérable, mais à faible risque: un produit contient la vulnérabilité, peut-être sous la forme d'une bibliothèque incluse ou d'un exécutable dans l'image logicielle. Mais l'impact de l'exploitation est négligeable et le produit fournit des contrôles de sécurité suffisants pour que la vulnérabilité ne soit pas exposée aux agents de menace. L'utilisation du produit présente probablement peu de risques supplémentaires pour les clients qui utilisent le produit dans les scénarios de déploiement recommandés et typiques.
Bulletins de sécuritéLes bulletins de sécurité sont disponibles sur notre centre de connaissances.
Afficher les bulletins de sécurité.
Signaler une vulnérabilitéPour plus d'informations sur la façon de signaler une vulnérabilité, voir
KB95563 - Signaler une vulnérabilité.