Trellix および Skyhigh Security の PSIRT 問い合わせ
HackerOne を通じてセキュリティの脆弱性レポートを提出してください。
その他の質問については、
trellixpsirt@trellix.com の電子メールでチームに連絡できます。
PSIRT ポリシー ステートメント
- 実用的な情報の提供
実用的な回避策、パッチ、修正プログラム、またはバージョンの更新がない限り、製品またはソフトウェアの脆弱性を公表することはありません。それ以外の場合、ハッカー コミュニティに、当社の製品がターゲットであり、顧客をより大きなリスクにさらすことになることを通知することになります。Log4j など、多くのメディアの注目を集めている脆弱性については、登録済みのセキュリティ速報を投稿し、認識とアクションを示します。このセキュリティ情報は、弊社のお客様に限定されます。
- 公平性
公平を期すために、製品の脆弱性をすべてのお客様に同時に開示します。大企業に事前に通知することはありません。事前通知は、ケースバイケースで CISO によって付与される場合がありますが、厳密な機密保持契約がある場合に限ります。
- 発見者
次の場合にのみ、脆弱性の発見者にクレジットを付与します。
- 発見者として名前を明示することを望んだ場合。
- セキュリティ情報または ナレッジ ベース (KB) 記事が公開される前に、"ゼロデイ" されなかった場合。
組織、個人あるいはその両方を発見者として明示します。
共通脆弱性評価システム (CVSS) スコアリング
最新の共通脆弱性評価システム (CVSS) バージョン CVSS v3.1. を使用しています。
すべてのセキュリティ情報には、各脆弱性の CVSS スコアと関連する CVSS ベクトルが含まれている必要があります。基本値は必須です。現状値と環境値はオプションです。基本値は、米国国立標準技術研究所 (NIST) によって CVE に割り当てられたスコアと一致させるのが理想的です。
サポート通知サービス (SNS) の電子メール
すべてのセキュリティ情報には、SNS の電子メールが必要です。SNS 電子メールを購読するには、
SNS サブスクリプション設定サイト に移動します。
対応方針
修正とアラートの応答は、最高の CVSS 基本スコアに依存します。
優先度 (セキュリティ) |
CVSS スコア |
標準的な修正対応* |
SNS |
P1-Critical |
9.0–10 Critical |
Hotfix
|
Alert |
P2-High |
7.0–8.9 High |
Update |
Notice |
P3-Medium |
4.0–6.9 Medium |
Update |
Notice |
P4-Low |
0.0–3.9 Low |
Version update |
Optional |
P5-Info |
0.0 |
修正されません; 情報 |
N/A |
* |
この修正応答は、脆弱性の重大度、製品ライフサイクル、修正の可能性に基づいています。上記の一般的な修正応答は、サポートされているすべての製品バージョンの修正プログラム、パッチ、またはバージョン アップデートを作成することを確約するものではありません。 |
外部への情報公開
弊社の外部通信メカニズムは、CVSS ベース スコア、顧客からの問い合わせ件数、メディアの注目度に応じて外部への情報公開を行っています。
- セキュリティ情報 (4 – 10)
- KB 記事 (2 – 4)
- サステイニング ステートメント (0 – 4)
- 不要 (0)
|
CVSS 0
低 |
Cvss 0 –3.9
低 |
Cvss 4.0 –6.9
中 |
Cvss 7.0 –10
高 |
外部への開示 (CVE)* |
複数の問い合わせがある場合の KB 記事; それ以外の場合は不要 |
KB 記事 |
セキュリティ情報と
SNS |
セキュリティ情報と
SNS |
顧客への開示 |
サステイニング ステートメント |
サステイニング ステートメント |
セキュリティ情報と
SNS |
セキュリティ情報と
SNS |
内部開示 |
不要 |
リリース ノートのドキュメント |
セキュリティ情報 (リリース後) およびリリース ノートのドキュメント |
セキュリティ情報 (リリース後) およびリリース ノートのドキュメント |
* デフォルトでは、スコアが 4.0. 未満の問題に対して CVE を発行しません。
危機のシナリオ
複数の製品に影響を与える既知の重大度の高い脆弱性については、1 つの製品の更新を含むセキュリティ情報を公開し、他の製品の更新と説明が利用可能になったときにセキュリティ情報を更新する場合があります。
複数の脆弱な製品が存在するセキュリティ情報には、次のカテゴリの製品がすべて表示されます。
- 脆弱性が存在するが、更新された製品
- 脆弱性が存在し、まだ更新されていない製品
- 脆弱性が存在するが、危険は低い製品 (標準配備のベスト プラクティスを提示)
- 脆弱でない製品
- 調査中の製品 (オプション)
危機的なシナリオでない限り、通常、金曜日の午後にセキュリティ情報を公開することはありません。
脆弱性とリスク スコア
業界標準の CVSS 脆弱性スコアリング システムに参加しています。CVSS スコアは、特定の脆弱性がお客様にもたらす可能性のあるリスクを判断するための開始点として考慮する必要があります。CVSS スコアは、当社の製品または製品の実行に関連するランタイム環境で発生する可能性のある脆弱性の重大度のリスク評価と混同しないでください。
CVSS 基本スコアにより、特定のインシデントに対する初期対応を判断します。
複数の脆弱な製品が存在するセキュリティ情報には、すべての製品がカテゴリ別に表示されます。以下のリストでは、潜在的な顧客への影響について、各カテゴリの意味を説明します。
- 脆弱性 — 製品には検証済みの脆弱性が含まれています。この脆弱性は、顧客にある程度のリスクをもたらします。標準的な配備環境で脆弱性が攻撃されたときの重大度を表す指標として、関連する CVSS スコアを使用する場合もあります。
- 脆弱性なし — 製品に脆弱性が含まれていない場合、または脆弱なコンポーネントの存在はいかなる方法でも攻撃を受けることはありません。製品の使用によるリスクはありません。
- 脆弱性がありますが、悪用可能ではありません — 製品には、画像に含まれるライブラリまたは実行ファイルなどの脆弱性が含まれています。ただし、この製品は、脆弱性が脅威エージェントにさらされないように十分なセキュリティ制御を提供します。製品の使用は、推奨される一般的な配備シナリオで製品を使用する顧客にとって、追加のリスクをほとんどもたらさない可能性があります。
セキュリティ情報
セキュリティ情報は、弊社の Knowledge Center で入手できます。
セキュリティ情報 を表示します。
脆弱性の報告
脆弱性の報告方法については、
KB95563 - 脆弱性の報告 を参照してください。