Политика за обелоденување слабости

 

Lenovo е посветен на испорака на безбедни и сигурни производи и услуги. Кога ќе се откријат слабости, работиме напорно за да ги решиме. Овој документ ја опишува политиката на Lenovo за примање пријави поврзани со потенцијални безбедносни слабости во своите производи и услуги и стандардната пракса на компанијата во однос на информирањето на потрошувачите за потврдените слабости.

Кога да контактирате со Тимот за реакција при безбедносни инциденти на производи (PSIRT)

Контактирајте со Тимот за реакција при безбедносни инциденти на производи (PSIRT) на Lenovo со испраќање е-порака на psirt@lenovo.com ако сте идентификувале потенцијална безбедносна слабост кај некој од нашите производи. Откако ќе ја примиме вашата пријава за инцидент, соодветниот персонал ќе контактира со вас за понатамошни информации.

За да се осигури доверливост, ве поттикнуваме да ги шифрирате сите чувствителни информации што ни ги испраќате преку е-пошта. Можеме да примаме пораки шифрирани со OpenPGP. Копија од јавниот клуч што може да се користи за испраќање шифрирани е-пораки може да се најде тука.

Адресата на е-пошта psirt@lenovo.com е наменета САМО за пријавување безбедносни слабости за производ или услуга што се однесуваат на нашите производи и услуги. За информации за техничка поддршка за нашите производи или услуги, посетете ја www.lenovo.com/support.

Lenovo се стреми да го потврди приемот на сите поднесени пријави во рок од два дена.

Примање безбедносни информации од Lenovo

Техничките информации за безбедносни извештаи поврзани со нашите производи и услуги се објавени на нашата веб-страница за безбедност на www.lenovo.com/product_security/advisories. Во повеќето случаи, ќе објавиме известување кога ќе идентификуваме одредено заобиколување или поправка за одредената безбедносна слабост, но може да има случаи кога ќе објавиме известување во отсуство на заобиколување кога слабоста ќе стане нашироко позната во задницата за безбедност.

Кога трета страна ќе го извести Lenovo за потенцијална слабост најдена во нашите производи, ние ќе го истражиме наодот и може да објавиме координирано обелоденување заедно со третата страна. Во некои случаи, Lenovo може да добие информации за безбедносна слабост од добавувач што потпишал договор за доверливост или неоткривање на податоци. Во тој случај, Lenovo ќе соработува со добавувачот за да побара да се објави безбедносна поправка иако можеби нема да смееме да дадеме детали за безбедносната слабост.

Степен на сериозност

При оценувањето или рејтингот на слабоста, Lenovo ги следи стандардните најдобри пракси во индустријата за да го одреди потенцијалното влијание на слабоста како Високо, Средно или Ниско. Овој пристап го следи Вообичаениот систем за оценување на слабости (CVSS), што овозможува отворена работна рамка за комуникација на карактеристиките и влијанијата на ИТ-слабостите. CVSS им овозможува на ИТ-менаџерите, давателите на билтени за слабости, продавачите на безбедност, продавачите на апликации и истражувачите да имаат придобивки со присвојување заеднички јазик на оценување на ИТ-слабостите.

Опис

Безбедносните извештаи се напишани за да ја објаснат јасно слабоста, вклучувајќи го името, причината и други достапни информации. Извештаите даваат информации за познати закани што се поврзани со слабоста (на пр., постоење на искористување или код со лош концепт, дискусија или докази за активноста на инцидентот). Извештајот исто така ги опишува потенцијалните/очекуваните последици од нападите врз слабоста.

Влијание врз производите

Генерално, безбедносните извештаи вклучуваат список со производи на Lenovo со статуси Засегнат, Не е засегнат или Се истражува. Засегнатите производи ќе имаат врска до поправката којашто може да се преземе од веб-страницата за Поддршка на Lenovo (каде се одржуваат сите ажурирања) или препорачано заобиколување и/или целен датум за поправката. Во случаи кога слабоста е специфична за одреден сет на производи, Lenovo може да даде само список од засегнатите производи.  Повремено, Lenovo може да смета дека е неопходно да се објави безбедносен извештај пред да се изврши процена на влијанието кај сите производи. Во тој случај, ќе се прикажува статус Се истражува. Се препорачува потрошувачите да ја посетуваат страницата на безбедносниот извештај за да бидат информирани за статусот на извештајот.

Решение

За слабости на производи, извештајот дава информации за начинот на кој може да се добие поправка или безбедносна крпеница. Во некој случај, може да се препорача заобиколување за да им се помогне на потрошувачите да ги заштитат засегнатите производи што се користат преку оперативен напор или со ограничување на користењето на некој начин без да се примени безбедносната поправка или крпеница.

Референци

Ако се достапни дополнителни информации за слабоста, извештајот ќе даде врска како референца. Ова опфаќа врски до CVE, блог или цитати од напис.

Признание

Вообичаено, сакаме да оддадеме признание на истражувачот или пронаоѓачот на слабоста и, со негова дозвола, ќе го направиме тоа.

Историја на ревизија

Кога ќе се направат ажурирања на извештајот, историјата на ревизија ќе прикаже што и кога било ажурирано.

Забелешка: сите аспекти од овој процес се подложни на промена без известување, како и на исклучоци карактеристични за соодветен случај. Не се гарантира никакво ниво на одговор за кој било специфичен проблем или класа на проблеми.

СПОДЕЛИ