Contatta PSIRT per Trellix e Skyhigh SecurityInvia rapporti sulle vulnerabilità di sicurezza tramite
HackerOne.
Per altre domande, puoi contattare il team tramite email all'indirizzo
trellixpsirt@trellix.com.
Dichiarazioni politiche PSIRT
- Azionabile
Non annunceremo pubblicamente le vulnerabilità del prodotto o del software senza una soluzione alternativa, un aggiornamento, un hotfix o un aggiornamento della versione attuabile. In caso contrario, informeremmo la comunità degli hacker che i nostri prodotti sono un obiettivo, il che metterebbe a rischio i nostri clienti. Per le vulnerabilità con maggiore attenzione da parte dei media, come Log4j, pubblicheremo un bollettino di sicurezza registrato che dichiara la nostra consapevolezza e le nostre azioni. Questo bollettino sulla sicurezza è riservato ai nostri clienti.
- Nessun preferito
Divulghiamo le vulnerabilità del prodotto a tutti i clienti, contemporaneamente.
- Scopritori
Diamo credito agli scopritori di vulnerabilità solo se sono soddisfatti i seguenti requisiti:
- Vogliono essere identificati come scopritori.
- Non hanno reso pubblica la loro ricerca, né l'hanno condivisa con altre parti, prima della pubblicazione del Bollettino sulla sicurezza o dell'articolo della Knowledge Base (KB) che affronta il problema.
- Non hanno utilizzato le loro ricerche per attaccare i nostri prodotti o servizi interessati o eventuali clienti che li utilizzano.
- Concedi ai nostri clienti un tempo ragionevole dopo il rilascio della correzione prima di rilasciare ulteriori dettagli che aiuterebbero un utente malintenzionato (ad esempio, rilasciare un PoC o un'analisi dettagliata del problema)
NOTA: le organizzazioni, gli individui o entrambi possono essere identificati come scopritori.
Punteggio CVSS (Common Vulnerability Scoring System) Utilizziamo la versione CVSS più recente CVSS v3.1.
Tutti i bollettini sulla sicurezza devono includere i punteggi CVSS per ciascuna vulnerabilità ei vettori CVSS associati. Il punteggio di base è necessario. I punteggi temporale e ambientale sono facoltativi. Idealmente, i punteggi di base dovrebbero corrispondere ai punteggi che il National Institute of Standards and Technology (NIST) assegna ai CVE.
Email SNS (Support Notification Service)Per tutti i bollettini sulla sicurezza è necessaria un'email SNS. Per abbonarsi alle email SNS, visitare il
sito delle preferenze di abbonamento SNS.
Politica di risposta La nostra risposta di correzione e avviso dipende dal punteggio di base CVSS più alto:
Priorità (sicurezza) |
Punteggio CVSS |
Tipica risposta correttiva* |
SNS |
P1-Critical |
9.0–10 Critico |
Hotfix |
Avviso |
P2-High |
7.0–8.9 Alto |
Aggiornamento |
Notifica |
P3-Medium |
4.0–6.9 Medio |
Aggiornamento |
Notifica |
P4-Low |
0.0–3.9 Basso |
Aggiornamento della versione |
Opzionale |
P5-Info |
0.0 |
Non risolverà; informativo |
N/D |
* |
La risposta alla correzione si basa sulla gravità della vulnerabilità, sul ciclo di vita del prodotto e sulla fattibilità di una correzione. La tipica risposta di correzione descritta in precedenza non è un impegno a produrre un hotfix, un aggiornamento o un aggiornamento della versione per tutte le versioni del prodotto supportate. |
Meccanismi di comunicazione esterna Il nostro meccanismo di comunicazione esterna dipende dal punteggio di base CVSS, dal numero di richieste dei clienti e dalla quantità di attenzione dei media:
- Bollettino sulla sicurezza (4–10)
- Articolo KB (2–4)
- Dichiarazione di sostegno (0–4)
- Non necessario (0)
|
CVSS 0 Basso |
CVSS 0–3.9 Basso |
CVSS 4.0–6.9 Medio |
CVSS 7.0–10 Alto |
Divulgazione esterna (CVE)* |
Articolo KB se più richieste; altrimenti non necessario |
Articolo della Knowledge Base |
Bollettino sulla sicurezza e SNS |
Bollettino sulla sicurezza e SNS |
Divulgazione alla clientela |
Dichiarazione di sostegno |
Dichiarazione di sostegno |
Bollettino sulla sicurezza e SNS |
Bollettino sulla sicurezza e SNS |
Divulgazione interna |
Non necessario |
Documento nelle note di rilascio |
Bollettino sulla sicurezza (post-rilascio) e documento nelle Note di rilascio |
Bollettino sulla sicurezza (post-rilascio) e documento nelle Note di rilascio |
*Per impostazione predefinita, non emettiamo CVE per problemi con un punteggio inferiore a4.0.
Scenari di crisi Per vulnerabilità di gravità elevata note pubblicamente che interessano più prodotti, potremmo pubblicare un Bollettino sulla sicurezza con un aggiornamento per un prodotto e quindi aggiornare il Bollettino sulla sicurezza come aggiornamenti e le descrizioni per altri prodotti diventano disponibili.
I bollettini sulla sicurezza con più prodotti vulnerabili elencano tutti i prodotti con le seguenti categorie:
- Vulnerabile e aggiornato
- Vulnerabile e non ancora aggiornato
- Vulnerabile ma a basso rischio (date le migliori pratiche standard per la distribuzione)
- Non vulnerabile
- Indagato (opzionale)
Di solito non pubblichiamo bollettini sulla sicurezza il venerdì pomeriggio, a meno che non si tratti di uno scenario di crisi.
Vulnerabilità vs. Punteggi di rischio
Partecipiamo al sistema di punteggio di vulnerabilità CVSS standard del settore. I punteggi CVSS dovrebbero essere considerati un punto di partenza per determinare quale rischio una particolare vulnerabilità potrebbe rappresentare per i nostri clienti. Il punteggio CVSS non deve essere confuso con una valutazione del rischio della gravità delle vulnerabilità che potrebbero verificarsi nei nostri prodotti o negli ambienti di runtime associati su cui vengono eseguiti i nostri prodotti.
Il punteggio di base CVSS determina la nostra risposta iniziale a un determinato incidente.
I bollettini sulla sicurezza con più prodotti vulnerabili elencano tutti i prodotti per categoria. L'elenco seguente descrive il significato di ciascuna categoria in termini di potenziale impatto sui clienti:
- Vulnerabile: un prodotto contiene una vulnerabilità verificata. La vulnerabilità pone un certo livello di rischio ai clienti. Il punteggio CVSS associato può essere considerato un'indicazione della gravità dell'impatto derivante dallo sfruttamento della vulnerabilità in scenari di implementazione tipici.
- Non vulnerabile: un prodotto non contiene la vulnerabilità o la presenza di un componente vulnerabile non può essere sfruttata in alcun modo. L’uso del prodotto non presenta rischi aggiuntivi per i clienti.
- Vulnerabile, ma a basso rischio: un prodotto contiene la vulnerabilità, forse come libreria inclusa o eseguibile nell'immagine del software. Tuttavia, l'impatto dello sfruttamento è trascurabile e il prodotto fornisce controlli di sicurezza sufficienti in modo che la vulnerabilità non sia esposta agli agenti di minaccia. L'uso del prodotto probabilmente presenta pochi rischi aggiuntivi per i clienti che utilizzano il prodotto in scenari di distribuzione consigliati e tipici.
Bollettini sulla sicurezzaI bollettini sulla sicurezza sono disponibili nel nostro Knowledge Center.
Visualizza i bollettini sulla sicurezza.
Segnalazione di una vulnerabilitàPer informazioni su come segnalare una vulnerabilità, vedere
KB95563 - Segnalazione di una vulnerabilità.