Политика за разкриване на уязвимости

 

Lenovo има ангажимента да доставя защитени и сигурни продукти и услуги. Когато бъдат открити уязвимости, ние работим старателно, за да ги отстраним. Този документ описва политиката на Lenovo относно получаването на сигнали, свързани с потенциални уязвимости в сигурността на нейните продукти и услуги, както и стандартната практика на компанията, свързана с информирането на клиентите за проверени уязвимости.

Кога да се свържете с екипа за реакция при инцидент със сигурността на продукти Product Security Incident Response Team (PSIRT)

Свържете се с екипа за реакция при инцидент със сигурността на продукти Product Security Incident Response Team (PSIRT) на Lenovo, като изпратите имейл на psirt@lenovo.com, ако сте открили потенциална уязвимост в сигурността на някой от нашите продукти. След получаване на вашия сигнал за инцидент, съответният персонал ще се свърже с вас за по-нататъшни действия.

За осигуряване на поверителност ви съветваме да шифровате всякаква чувствителна информация, която ни изпращате по имейл. Ние можем да получаваме съобщения, шифровани чрез OpenPGP. Копие на нашия публичен ключ, който може да се използва за изпращане на шифрован имейл, можете да намерите тук.

Имейл адресът psirt@lenovo.com е предназначен САМО за целите на изпращане на сигнали, свързани със уязвимости в сигурността на продукти или услуги, конкретно за нашите продукти или услуги. За информация относно техническата поддръжка на нашите продукти или услуги, моля, посетете www.lenovo.com/support.

Lenovo се стреми да потвърждава получаването на всички изпратени сигнали в рамките на два работни дни.

Получаване на информация за сигурност от Lenovo

Техническа информация относно известията за сигурност, свързани с нашите продукти и услуги, се публикува на нашия уебсайт за сигурност на адрес www.lenovo.com/product_security/advisories. В повечето случаи ние публикуваме известие, когато идентифицираме практически метод за заобикаляне на проблема или корекция за конкретна уязвимост в сигурността, но може да има и случаи, в които публикуваме известие при липса на метод за заобикаляне на проблема, когато уязвимостта е станала широко известна в общността, свързана със сигурността.

Когато Lenovo е уведомена от трета страна за намерена потенциална уязвимост в наши продукти, ние ще обследваме случая и може да публикуваме координирано разкриване на информацията заедно с третата страна. В някои случаи Lenovo може да получи информация относно уязвимост в сигурността от доставчик със споразумение за поверителност или неразкриване на информация. В тези случаи Lenovo ще работи с доставчика, за да поиска публикуване на корекция на сигурността, въпреки че е възможно да не можем да предоставим подробности за уязвимостта в сигурността.

Тежест

При оценката и класифицирането на уязвимостите Lenovo следва най-добрите стандартни практики в сектора, за да определи потенциалната критичност на уязвимостта като „висока“, „средна“ или „ниска“. Този подход използва системата Common Vulnerability Scoring System (CVSS), която предоставя отворена рамка за комуникиране на информация относно характеристиките и критичността на ИТ уязвимостите. CVSS позволява ИТ мениджърите, доставчиците на бюлетини за уязвимости, доставчиците на функционалности за сигурност, доставчиците на софтуер и проучващите лица да се възползват, като възприемат общ стандарт за оценка на ИТ уязвимости.

Описание

Известията за сигурност се публикуват, за да обяснят уязвимостта, включително името, причината и друга налична информация. Известията предоставят информация за известни заплахи, свързани с уязвимостта (напр. съществуването на експлойт или доказващ код, дискусия или доказателство за инцидент). Известието също така описва потенциалните/очакваните последствия от атаки към уязвимостта.

Въздействие върху продуктите

По принцип, известията за сигурност включват списък с продукти на Lenovo със статус „засегнати“, „незасегнати“ или „в процес на проучване“. Засегнатите продукти ще включват линк към корекцията, която може да бъде изтеглена от сайта за поддръжка на Lenovo (където се поддържат всички актуализации), или препоръчан метод за заобикаляне на проблема и/или целева дата за решаване на проблема. В случаите, когато уязвимостта е специфична за определена група продукти, Lenovo може да предостави само списък със засегнатите продукти.  При случай, Lenovo може да счете за необходимо да публикува известие за сигурност, преди да е завършена оценката за въздействие върху всички продукти. В тези случаи ще се показва статус „в процес на проучване“. Препоръчително е клиентите да посещават сайта за известия за сигурност, за да са информирани за статуса на известието.

Решение

За уязвимости на продукти известието предоставя информация за това как да бъде получена корекцията или пачът за сигурност. В някои случаи може да бъде препоръчан метод за заобикаляне на проблема, за да се помогне на клиентите да защитят засегнатите продукти, които използват, чрез работно усилие или чрез ограничена употреба по някакъв начин, без да се прилага корекцията или пачът за сигурност.

Справки

Ако е достъпна допълнителна информация за уязвимостта, известието ще предостави линкове за справка. Това включва линкове към CVE или цитати от блогове или статии.

Обявяване на принос

Обикновено, ние се стремим да обявим приноса на проучващото лице или лицето, открило уязвимостта, и с тяхно съгласие съобщаваме за тях.

Хронология на редакциите

Когато бъдат направени актуализации на дадено известие, хронологията на редакциите ще показва какво е било актуализирано и кога.

Бележка: всички аспекти на този процес подлежат на промяна без предизвестие, както и на изключения в конкретни случаи. Не се гарантира конкретно ниво на реакция за който и да е конкретен проблем или категория проблеми.

СПОДЕЛЯНЕ