Свържете се с нас, за да съобщите за уязвимост

 

Съобщаване за уязвимост в сигурността на продуктите

Lenovo има ангажимента да разработва продукти и услуги, които отговарят на най-високите стандарти за сигурност, за да защитават нашите клиенти и техните данни. Lenovo с охота приема информация за потенциални уязвимости в сигурността от лица, проучващи тази сфера, академични среди и други представители от широката общност, свързана със сигурността.

Екипът за реакция при инцидент със сигурността на продукти – Product Security Incident Response Team (PSIRT), на Lenovo е готов да работи с тези, които съобщават за такива уязвимости, и се стреми да реагира на всички уместни сигнали в рамките на два работни дни. PSIRT ще изследва проблема, ще разработи или създаде корекции и след това ще предостави тези корекции на клиентите на Lenovo възможно най-бързо. Lenovo ще назначи CVE идентификатор съгласно Information Sharing and Embargo Policy (Политика за споделяне на информация и ембарго) на CVE Number Authority.

В Information Sharing and Embargo Policy (Политика за споделяне на информация и ембарго) на CVE Number Authority (CNA)

Common Vulnerabilities and Exposures (CVE®) е речник на обществено известните уязвимости и слабости на информационната сигурност и се поддържа от The MITRE Corporation.  CVE идентификаторът обозначава една уязвимост в сигурността и позволява на доставчиците, проучващите лица и клиентите да говорят за тази конкретна уязвимост.  

Lenovo назначава CVE идентификатори за уязвимости в продукти на Lenovo дори ако информацията за уязвимостта ще остане поверителна за непредвидим период от време.  Lenovo изисква разкриващото лице да поддържа поверителност в рамките на периода на ембарго, който се дефинира като периодът от време между CVE заявката и договорената дата на разкриване, като към тази дата разкриващото лице ще бъде публично обявено във връзка със своя принос.

Политиката на CNA е заявките за CVE идентификатор да не бъдат видими за лица в какъвто и да е предполагаем конфликт на интереси. Заявките за CVE идентификатор могат да бъдат четени от лица, които са служители и/или изпълнители на Lenovo. Тези лица не трябва да работят за други организации, които заявяват, използват или издават CVE идентификатори, или продават продукти, които може да имат CVE.

Моля, прочетете тези инструкции внимателно, за да сте сигурни, че сигналите за уязвимости в сигурността се подават към правилния екип в Lenovo.

Lenovo винаги препоръчва работа с най-актуалните издания на версията на софтуера на платформата (BIOS, BMC/TSM, FW и т.н.). Предвид това, Lenovo оценява уязвимости в сигурността само за най-актуалната версия, достъпна на support.lenovo.com.

За уязвимости в сигурността на продукти като компютри, таблети или аксесоари Lenovo, изпращайте имейл на psirt@lenovo.com. Можете да използвате PGP ключ на екипа за реакция при инцидент със сигурността на продукти Product Security Incident Response Team на Lenovo, за да шифровате чувствителна информация (кликнете тук, за да изтеглите нашия публичен PGP ключ). За да съобщите за уязвимости в сигурността, засягащи телефони Lenovo или Motorola, изпратете имейл на secure@motorola.com. Предоставете възможно най-подробна информация. Посочете наименованията на продуктите и засегнатите версии, подробно описание на уязвимостта и всякаква информация за известна експлоатация. Посочете също и своя PGP ключ, за да можем да комуникираме с вас относно чувствителни въпроси. За допълнителна информация вижте Политика на Lenovo за разкриване на уязвимости (Lenovo Vulnerability Disclosure Policy).

За уязвимости, открити в уебсайта на Lenovo, изпратете имейл на lsrc@lenovo.com.

За уязвимости в сигурността на операционната система (ОС) Lenovo препоръчва да се свържете с доставчика на своята операционна система.

Ако се налага да съобщите за изгубен или откраднат продукт или се нуждаете от техническа поддръжка, прегледайте списъка с телефонни номера за поддръжка (Support Phone List), за да намерите информацията за контакт относно вашия продукт.

Прегледайте текущия сайт Lenovo Product Security Advisories за информация относно актуалните уязвимости.

СПОДЕЛЯНЕ