Lenovo стремится к тому, чтобы ее продукты и услуги всегда были защищенными и безопасными. Когда выявляются уязвимости, мы прикладываем максимум усилий для их устранения. В этом документе описывается политика Lenovo в отношении получения отчетов о потенциальных уязвимостях безопасности в своих продуктах и услугах, а также стандартная практика компании по информированию
клиентов о проверенных уязвимостях.

Когда необходимо обращаться в команду реагирования на инциденты безопасности продукта (Product Security Incident Response Team, PSIRT)

Свяжитесь с командой PSIRT, отправив электронное письмо на адрес psirt@lenovo.com в случае
обнаружения потенциальной уязвимости безопасности в одном из наших продуктов. После получения отчета об инциденте с вами свяжется соответствующий сотрудник для принятия последующих мер.

Для обеспечения конфиденциальности мы рекомендуем шифровать любую информацию конфиденциального характера, которую вы отправляете нам по электронной почте. Мы можем получать сообщения, зашифрованные с помощью OpenPGP. Копия нашего открытого ключа для отправки зашифрованной электронной почты находится здесь.

Этот адрес psirt@lenovo.com предназначен ТОЛЬКО для уведомления об уязвимостях безопасности, затрагивающих наши продукты или услуги. Для получения технической поддержки наших продуктов или услуг посетите сайт www.lenovo.com/support..

Специалисты Lenovo стараются подтверждать получение всех переданных отчетов в течение двух рабочих дней.

Получение информации о безопасности Lenovo

Техническая информация о рекомендациях по безопасности в отношении наших продуктов и услуг размещена на веб-сайте по адресу www.lenovo.com/product_security/advisories. В большинстве случаев мы публикуем уведомление, если находим обходное решение или исправление для конкретной уязвимости, однако могут быть случаи, когда уведомления публикуются при отсутствии обходного пути, если уязвимость стала широко известна в сообществе безопасности.

Когда Lenovo получает уведомления от третьей стороны об обнаружении потенциальной уязвимости в наших продуктах, мы изучаем полученные данные и можем скоординировано опубликовать результаты исследования уязвимостей. В некоторых случаях Lenovo может получать от поставщика информацию о выявлении уязвимости в безопасности в рамках соглашений о конфиденциальности или неразглашении. В таких случаях Lenovo будет работать с поставщиком над выпуском исправлений безопасности, без предоставления подробной информации об уязвимости.

Система оценки уязвимостей

Оценивая и ранжируя уязвимости, Lenovo следует передовым отраслевым практикам, чтобы определить уровень потенциального воздействия уязвимости как высокий, средний или низкий. Этот подход соответствует общей системе оценки уязвимостей (Common Vulnerability Scoring System, CVSS), которая представляет собой открытую среду для обмена информацией об ИТ-уязвимостях. Система оценки CVSS позволяет ИТ-менеджерам, издателям бюллетеней по уязвимостям, поставщикам систем безопасности, производителям приложений и исследователям получать преимущества от использования единого языка в оценке уязвимостей ИТ.

Описание

Рекомендации по безопасности дают четкие разъяснения в отношении уязвимостей и содержат такие данные, как имя, причину и другую доступную
информацию. Рекомендации информируют об известных угрозах, связанных с уязвимостью (например, наличие эксплойта или пробного кода, обсуждений или доказательств активности инцидентов). Они также описывают потенциальные (ожидаемые) последствия от атак, направленных на эту уязвимость.

Воздействие на продукты

Как правило, рекомендации по безопасности содержат список продуктов Lenovo с указанием их статусов: Affected, Not Affected или Researching. Затронутые продукты (Affected) содержат ссылку на исправление, которое может быть загружено с сайта поддержки Lenovo (где поддерживаются все обновления), или рекомендуемое обходное решение и (или) запланированную дату восстановления. В случаях, когда уязвимость касается определенного набора продуктов, Lenovo может предоставить только список затронутых продуктов. Иногда Lenovo может опубликовывать рекомендации по безопасности до завершения оценки воздействия на все продукты. В таких случаях продуктам присваивается статус Researching. Веб-сайт, посвященный рекомендациям по безопасности, позволяет клиентам оставаться в курсе всех текущих рекомендаций.

Решение

В отношении уязвимостей продуктов в рекомендациях содержится информация о том, как получить исправление или обновление безопасности. В некоторых случаях может быть рекомендовано обходное решение, чтобы помочь клиентам защитить затронутые продукты, находящиеся в использовании, с помощью оперативных методов реагирования или путем ограничения использования без применения исправления или обновления безопасности.

Справочные материалы

По мере появления дополнительной информации об уязвимости, в рекомендации по безопасности включаются ссылки на соответствующие справочные материалы. Это могут быть ссылки на список CVE, блог или выдержки из статей.

Признательность

Как правило, мы выражаем признательность исследователям и первооткрывателям уязвимостей, публикуя их имена после их согласия.

История изменений

Когда в рекомендации по безопасности вносятся изменения, в истории изменений фиксируется, что и когда было обновлено.

Примечание. Все аспекты этого процесса могут быть изменены без предварительного уведомления, равно как и исключения в отношении каждого конкретного случая. Не предоставляется гарантия на какие-либо показатели участия в решении какой-либо конкретной проблемы или класса проблем.

ПОДЕЛИТЬСЯ