Politica privind divulgarea vulnerabilităților

 

Lenovo este dedicată furnizării de produse și servicii sigure și securizate. Atunci când se descoperă vulnerabilități, depunem eforturi pentru a le elimina. Acest document descrie politica Lenovo pentru primirea de rapoarte legate de posibile vulnerabilități de securitate în produsele și serviciile acesteia și practica standard a companiei pentru informarea clienților cu privire la vulnerabilitățile verificate.

Când contactați Product Security Incident Response Team (PSIRT)

Contactați Lenovo Product Security Incident Response Team (PSIRT) trimițând un e-mail la adresa psirt@lenovo.com dacă ați identificat o posibilă vulnerabilitate de securitate pentru unul dintre produsele noastre. După ce este primită raportarea incidentului, veți fi contactat de personalul corespunzător.

Pentru asigurarea confidențialității, vă încurajăm să criptați informațiile sensibile pe care ni le trimiteți prin e-mail. Putem să primim mesaje criptate cu OpenPGP. O copie a cheii publice care poate fi utilizată pentru trimiterea de e-mailuri criptate se găsește aici.

Adresa de e-mail psirt@lenovo.com este destinată DOAR pentru raportarea vulnerabilităților de securitate a produselor și serviciilor specifice produselor sau serviciilor noastre. Pentru informații privind asistența tehnică pentru produsele sau serviciile noastre, vizitați www.lenovo.com/support.

Lenovo depune toate eforturile pentru a studia toate rapoartele trimise în decurs de două zile lucrătoare.

Primirea de informații de securitate de la Lenovo

Informațiile tehnice despre sfaturile noastre de securitate asociate produselor și serviciilor noastre sunt publicate pe site-ul web de securitate la adresa www.lenovo.com/product_security/advisories. În majoritatea cazurilor, vom emite o notificare atunci când identificăm o măsură de remediere temporară sau un remediu pentru o anumită vulnerabilitate de securitate, deși pot exista situații în care emitem o notificare în absența unei măsuri de remediere temporare atunci când vulnerabilitatea este cunoscută la scară largă în comunitatea de securitate.

Atunci când Lenovo este notificată de un terț cu privire la o posibilă vulnerabilitate descoperită în produsele noastre, vom investiga respectiva descoperire și este posibil să publicăm o divulgare coordonată împreună cu terțul. În unele situații, Lenovo poate primi informații despre o vulnerabilitate de securitate de la un furnizor în baza unui acord de confidențialitate sau nedivulgare. În astfel de cazuri, Lenovo va colabora cu furnizorul pentru a solicita lansarea unui remediu de securitate, deși este posibil să nu putem furniza detalii despre vulnerabilitatea de securitate.

Gravitatea

Pentru evaluarea vulnerabilităților, Lenovo urmează practicile standard din domeniu pentru desemnarea impactului potențial al vulnerabilității: Ridicat, Mediu sau Scăzut. Această abordare respectă un sistem comun de evaluare a vulnerabilităților (CVSS, care furnizează un cadru deschis pentru comunicarea caracteristicilor și impactului vulnerabilităților IT. CVSS permite managerilor de IT, furnizorilor de buletine privind vulnerabilitățile, furnizorilor de securitate, furnizorilor de aplicații și cercetătorilor să beneficieze de adoptarea unui limbaj comun pentru evaluarea vulnerabilităților IT.

Descrierea

Sfaturile privind securitatea sunt scrise astfel încât să explice clar vulnerabilitatea, inclusiv numele, cauza și alte informații disponibile. Sfaturile furnizează informații despre amenințările cunoscute asociate cu vulnerabilitatea (de ex. existența exploiturilor sau codului pentru validarea conceptului, discuții sau dovezi privind activitatea dintr-un incident). Sfaturile descriu, de asemenea, consecințele posibile/așteptate ale atacurilor împotriva vulnerabilității.

Impactul produsului

În general, sfaturile de securitate includ o listă de produse Lenovo cu statutul Afectat, Neafectate sau În curs de cercetare. Produsele afectate vor include un link către remediu, care poate fi descărcat de pe site-ul de asistență Lenovo (unde sunt menținute toate actualizările) sau o măsură temporară de remediere și/sau o dată estimată pentru remediere. În cazurile în care vulnerabilitatea este specifică unui anumit set de produse, Lenovo poate furniza doar o listă cu produsele afectate.  Ocazional, Lenovo poate considera necesar să publice un sfat de securitate înainte de a finaliza o evaluarea a impactului pentru toate produsele. În aceste cazuri, va fi afișat statutul În curs de cercetare. Clienților li se recomandă să viziteze site-ul de sfaturi de securitate pentru a fi la curent cu statutul acestuia.

Soluția

Pentru vulnerabilitățile produselor, sfatul furnizează informații cu privire la modul de obținere a remediului sau patch-ului de securitate. În unele cazuri, este posibil să se recomande o măsură temporară de remediere pentru a ajuta clienții să protejeze produsele afectate în uz, prin efor operațional sau prin limitarea într-un anumit mod a utilizării fără aplicarea remediului sau patch-ului de securitate.

Referințele

Dacă sunt disponibile informații adiționale despre vulnerabilitate, sfatul va oferi linkuri drept referințe. Sunt incluse aici linkuri către CVE, blog sau citate din articole.

Recunoașterea

De obicei, încercăm să recunoaștem cercetătorul sau descoperitorul vulnerabilității și, cu permisiunea sa, îl vom credita pentru descoperire.

Istoricul revizuirilor

Atunci când un sfat este actualizat, istoricul revizuirilor va indica ce actualizări au fost efectuate și când.

Notă: toate aspectele acestui proces pot fi modificate fără notificare și pot fi supuse unor excepții, după caz. Nu se garantează un anumit nivel de răspuns pentru nicio problemă sau clasă de probleme specifică.

DISTRIBUIRE