Kebijakan Pengungkapan Kerentanan

 

Lenovo berkomitmen untuk menyediakan produk dan layanan yang aman. Bila kerentanan ditemukan, kami berupaya keras untuk mengatasinya. Dokumen ini menjelaskan kebijakan Lenovo tentang penerimaan laporan terkait kemungkinan kerentanan keamanan dalam produk dan layanannya serta praktik standar perusahaan terkait pemberitahuan kepada pelanggan mengenai kerentanan yang terverifikasi.

Kapan harus menghubungi Product Security Incident Response Team (PSIRT)

Hubungi Lenovo Product Security Incident Response Team (PSIRT) dengan mengirim email ke psirt@lenovo.com jika Anda mengidentifikasi kemungkinan kerentanan keamanan pada salah satu produk kami. Setelah laporan insiden Anda diterima, staf terkait akan menghubungi Anda untuk menindaklanjuti laporan.

Untuk memastikan kerahasiaan, kami menyarankan Anda untuk mengenkripsi informasi sensitif yang dikirim kepada kami melalui email. Kami dapat menerima pesan yang dienkripsi menggunakan OpenPGP. Salinan kunci publik kami yang dapat digunakan untuk mengirim email terenkripsi dapat ditemukan di sini.

Alamat email psirt@lenovo.com HANYA ditujukan untuk keperluan pelaporan kerentanan keamanan produk atau layanan khusus produk atau layanan kami. Untuk informasi dukungan teknis terkait produk atau layanan kami, kunjungi www.lenovo.com/support.

Lenovo berupaya mengonfirmasi penerimaan semua laporan yang dikirim dalam waktu dua hari kerja.

Menerima informasi keamanan dari Lenovo

Informasi teknis tentang laporan keamanan terkait produk dan layanan kami diposting pada situs web keamanan kami di www.lenovo.com/product_security/advisories. Biasanya, kami akan menyampaikan pemberitahuan bila telah mengidentifikasi langkah-langkah praktis atau perbaikan untuk kerentanan keamanan tertentu, namun ada kalanya kami menyampaikan pemberitahuan tanpa memberikan langkah-langkah bila kerentanan telah diketahui secara luas dalam komunitas keamanan.

Bila Lenovo mendapat pemberitahuan dari pihak ketiga tentang kemungkinan kerentanan yang ditemukan dalam produk, kami akan menyelidiki temuan tersebut dan mungkin akan memublikasikan pengungkapan terkoordinasi beserta pihak ketiga. Dalam kasus tertentu, Lenovo mungkin menerima informasi tentang kerentanan keamanan dari pemasok berdasarkan perjanjian kerahasiaan. Dalam kasus tersebut, Lenovo akan bekerja sama dengan pemasok untuk meminta agar perbaikan keamanan dirilis meskipun kami tidak dapat memberikan perincian tentang kerentanan keamanan.

Tingkat Keparahan

Dalam penilaian atau pemberian peringkat kerentanan, Lenovo mengikuti standar praktik terbaik industri untuk menetapkan dampak kemungkinan kerentanan sebagai Tinggi, Sedang, atau Rendah. Pendekatan ini mengikuti Common Vulnerability Scoring System (CVSS, yang memberikan kerangka kerja terbuka untuk menyampaikan karakteristik dan dampak kerentanan TI. CVSS memungkinkan manajer TI, penyedia buletin kerentanan, vendor keamanan, vendor aplikasi, dan periset mendapatkan semua manfaat dengan mengadopsi bahasa umum penilaian kerentanan TI.

Deskripsi

Laporan keamanan ditulis untuk menerangkan kerentanan dengan jelas, termasuk nama, penyebab, dan informasi lainnya yang tersedia. Laporan memberikan informasi tentang ancaman umum terkait kerentanan (misalnya, adanya kode eksploitasi atau bukti konsep, diskusi atau bukti aktivitas insiden). Laporan juga menjelaskan kemungkinan/perkiraan konsekuensi serangan terhadap kerentanan.

Dampak Produk

Biasanya, laporan keamanan mencakup daftar produk Lenovo dengan status Terpengaruh, Tidak Terpengaruh, atau Sedang Diteliti. Produk yang terpengaruh akan mencakup tautan ke perbaikan yang dapat diunduh dari situs Dukungan Lenovo (tempat pengelolaan semua pembaruan) atau langkah-langkah yang disarankan dan/atau tanggal target untuk remediasi. Bila ada kerentanan terkait khusus pada set produk tertentu, Lenovo mungkin hanya akan memberikan daftar produk yang terpengaruh.  Terkadang, Lenovo mungkin menganggap perlunya memublikasikan laporan keamanan sebelum menyelesaikan pengkajian dampak untuk semua produk. Dalam kasus ini, status Sedang Diteliti akan ditampilkan. Sebaiknya pelanggan mengunjungi situs laporan keamanan untuk mengetahui status laporan terbaru.

Solusi

Untuk kerentanan produk, laporan memberikan informasi tentang cara memperoleh perbaikan atau patch keamanan. Dalam kasus tertentu, langkah-langkah mungkin akan disarankan untuk membantu pelanggan melindungi produk terpengaruh yang digunakan melalui upaya pengoperasian atau dengan membatasi penggunaan dalam cara tertentu tanpa menerapkan perbaikan atau patch keamanan.

Referensi

Jika tersedia informasi tambahan tentang kerentanan, laporan akan memberikan tautan sebagai referensi. Ini mencakup tautan ke CVE, blog, atau kutipan artikel.

Pengakuan

Biasanya, kami akan mencatat periset atau penemu kerentanan dan, atas izin mereka, akan memberikan penghargaan.

Riwayat Revisi

Bila ada pembaruan pada laporan, riwayat revisi akan menunjukkan apa yang diperbarui dan kapan diperbarui.

Catatan: semua aspek proses ini dapat berubah tanpa pemberitahuan, dan mungkin memiliki pengecualian kasus per kasus. Tidak ada jaminan untuk tanggapan pada tingkat tertentu untuk masalah atau kelompok masalah spesifik.

BAGIKAN