Biztonsági rések közzétételére vonatkozó irányelvek

 

A Lenovo elkötelezett aziránt, hogy biztonságos termékeket és szolgáltatásokat nyújtson. Biztonsági rés felfedezése esetén mindent megteszünk annak elhárítása érdekében. A dokumentum bemutatja azon irányelveiket, amelyeket a termékeinkben és szolgáltatásainkban potenciálisan felmerült biztonsági résekkel kapcsolatos bejelentések fogadásakor alkalmazunk, illetve az ügyfelek igazolt biztonsági résekkel kapcsolatos értesítésére vonatkozó szokásos gyakorlatunkat is.

Mikor érdemes felvenni a kapcsolatot a Termékbiztonsági Incidenskezelési Csapattal (PSIRT)?

Ha potenciális biztonsági rést azonosított valamelyik termékünkben, vegye fel a kapcsolatot a Termékbiztonsági Incidenskezelési Csapattal (Product Security Incident Response Team, PSIRT) a psirt@lenovo.com címen. Miután megkaptuk az incidens bejelentését, az illetékes személy felveszi Önnel a kapcsolatot.

Az érzékeny információkkal védelméhez azt javasoljuk, hogy titkosítsa, mielőtt e-mailben elküldené őket. Az OpenPGP szabvánnyal titkosított üzeneteket tudjuk fogadni. A titkosított e-mailhez szükséges nyilvános kulcs itt található.

A psirt@lenovo.com e-mail-cím KIZÁRÓLAG a termékeinkkel és szolgáltatásainkkal kapcsolatos biztonsági rések bejelentésére használható. Termékeinkkel és szolgáltatásainkkal kapcsolatos műszaki információkat és támogatást a www.lenovo.com/support oldalon talál.

Arra törekszünk, hogy két munkanapon belül válaszoljunk a beküldött jelentésekre.

Biztonsági információk fogadása a Lenovótól

A termékekeinkkel és szolgáltatásainkkal kapcsolatos biztonsági értesítések webhelyünkön találhatók: www.lenovo.com/product_security/advisories. A legtöbb esetben amikor működő javítást vagy megkerülő megoldást találunk egy biztonsági résre, értesítést teszünk közzé, azonban lehetnek olyan esetek, amikor enélkül is közzétesszük az értesítést, például akkor, hogy ha a biztonsági rés a szélesebb biztonsági közösség tudomására jut.

Amikor harmadik fél értesít minket egy termékünket érintő potenciális biztonsági résről, kivizsgáljuk a bejelentést, és koordináljuk vele az információk közzétételét. Előfordulhat, hogy olyan beszállítótól kapunk információkat egy biztonsági réssel kapcsolatban, amelyet titoktartási szerződés köt. Ilyen esetekben a beszállítóval együttműködve kérjük a javítás kiadását, de előfordulhat, hogy nem adhatunk ki részleteket a biztonsági réssel kapcsolatban.

Súlyosság

Az ágazat bevált gyakorlatait követve magas, közepes és alacsony kategóriába soroljuk a biztonsági rések potenciális hatásait. Ez a megközelítés megfelel a Közös Biztonságirés-osztályozási Rendszernek (Common Vulnerability Scoring System, CVSS), amely nyílt keretrendszert biztosít az IT-biztonsági rések jellemzőivel és hatásaival kapcsolatos kommunikációhoz. A CVSS az IT-vezetők, biztonsági résekkel kapcsolatos közlemények kiadói, alkalmazásfejlesztők és kutatók számára azzal az előnnyel jár, hogy közös terminológiát használhatnak az IT-biztonsági rések osztályozására.

Leírás

A biztonsági értesítések világosan leírják a biztonsági rést, ideértve a nevét, az okát és más rendelkezésre álló információkat is. Az értesítések információkat tartalmazhatnak a biztonsági réshez kapcsolódó fenyegetésekről is (pl. a biztonsági rés kihasználásának bizonyítékát, proof-of-concept kódot vagy az incidenssel kapcsolatos kommunikációt vagy bizonyítékokat). Ezenkívül az értesítések leírják a biztonsági rés kihasználásának potenciális vagy várható következményeit is.

Hatás a termékre

Általában a biztonsági értesítések tartalmazzák a Lenovo termékek listáját „érintett”, „nem érintett” vagy „vizsgálat alatt” megjelöléssel. Az érintett termékeknél közzétehetjük a javításra (amely a támogatási webhelyünkről tölthető le, ahol megtalálható az összes frissítés) mutató hivatkozást, a javasolt megkerülő megoldást és/vagy a javítás várható dátumát. Olyan esetekben, amikor a biztonsági rés egy termékcsoportot érint, előfordulhat, hogy csak az érintett termékek listáját tesszük közzé. Előfordulhat az is, hogy szükségesnek találjuk a biztonsági értesítés közzétételét még azelőtt, mielőtt megvizsgálnánk annak hatását az összes termékünkre. Ilyen esetben feltüntetjük a vizsgálat állapotát. Ügyfeleinknek azt javasoljuk, hogy látogassanak el gyakran a biztonsági értesítések weboldalára, hogy így tájékozódjanak a biztonsági rések állapotával kapcsolatban.

Megoldás

Termékeket érintő biztonsági rés esetében az értesítés információkat tartalmaz azzal kapcsolatban, hogy hogyan szerezheti be a javítást. Bizonyos esetekben megkerülő megoldást javasolunk, hogy ezzel segítsünk az ügyfeleinknek biztonsági javítás telepítése nélkül, a működésük módosításával vagy korlátozásával megvédeni a használatban lévő termékeket.

Referenciák

Ha rendelkezésre állnak további információk a biztonsági réssel kapcsolatban, a biztonsági értesítés tartalmazza az ezekre mutató hivatkozásokat. Ilyen információk lehetnek például a CVE-k, blogok vagy cikkek.

A felfedező megnevezése

Általában arra törekszünk, hogy azonosítsuk és – az engedélyével – megnevezzük a biztonsági rés felfedezőjét.

Módosítási előzmények

Ha módosítunk egy biztonsági értesítést, a módosítási előzményeiben látható, hogy mi változott és mikor.

Megjegyzés: Ennek a folyamatnak bármelyik része előzetes értesítés nélkül változhat, valamint esetenként kivételek is előfordulhatnak. Nem tudunk garantálni semmilyen választ egy bizonyos problémára vagy problématípusra.

MEGOSZTÁS