Smernice za otkrivanje ranjivosti

 

Kompanija Lenovo se obavezala da isporučuje bezbedne i sigurne proizvode i usluge. Kada se otkriju ranjivosti, pažljivo radimo na njihovom otklanjanju. Ovaj dokument opisuje smernice kompanije Lenovo za primanje izveštaja u vezi sa potencijalnim ugrožavanjima bezbednosti u njenim proizvodima i uslugama i standardne prakse ove kompanije koje se odnose na informisanje korisnika o verifikovanim ranjivostima.

Kada da se obratite timu za odgovor na bezbednosne incidente (Product Security Incident Response Team, PSIRT)

Kontaktirajte tim Product Security Incident Response Team (PSIRT) kompanije Lenovo tako što ćete poslati e-poruku na adresu psirt@lenovo.com ako ste otkrili potencijalnu ranjivost ili ugroženost bezbednosti na nekom od naših proizvoda. Nakon što primi vaš izveštaj o incidentu, odgovarajuće osoblje će vas kontaktirati kako biste razgovarali o ovom problemu.

Da bismo obezbedili poverljivost, preporučujemo vam da šifrujete sve osetljive informacije koje nam šaljete putem e-poruke. Moći ćemo da primimo poruke koje su šifrovane korišćenjem standarda za šifrovanje OpenPGP. Kopiju našeg javnog ključa koju možete da koristite da biste poslali šifrovanu e-poruku možete da pronađete ovde.

Adresa e-pošte psirt@lenovo.com je namenjena za prijavljivanje samo onih ugroženosti bezbednosti koji se odnose na naše proizvode i usluge. Za informacije o tehničkoj podršci za naše proizvode i usluge, posetite lokaciju www.lenovo.com/support.

Kompanija Lenovo nastoji da potvrdi prijem svih dospelih prijava u roku od dva radna dana.

Prijem bezbednosnih informacija od kompanije Lenovo

Tehničke informacije u vezi sa bezbednosnim savetima za naše proizvode i usluge možete pronaći na našoj veb lokaciji za bezbednost na adresi www.lenovo.com/product_security/advisories. U većini slučajeva izdaćemo upozorenje kada identifikujemo praktično alternativno rešenje ili popravku za određenu ranjivost bezbednosti, mada mogu postojati slučajevi kada izdajemo upozorenje bez alternativnog rešenja kada određena ranjivost postane poznata široj bezbednosnoj zajednici.

Kada treća strana obavesti kompaniju Lenovo o tome da je otkrila potencijalnu ranjivost u našim proizvodima, mi ćemo istražiti nalaz i možemo objaviti obaveštenje u koordinaciji sa trećom stranom. U nekim slučajevima kompanija Lenovo može da primi informacije o bezbednosnoj ranjivosti od dobavljača u skladu sa sporazumom o poverljivosti ili neobjavljivanju. U tim slučajevima kompanija Lenovo će sarađivati sa dobavljačem u nastojanju da se izda bezbednosna popravka, mada možda neće moći da obezbedi detalje o primećenoj ranjivosti.

Stepen ozbiljnosti

Pri ocenjivanju stepena ranjivosti, kompanija Lenovo prati najbolje prakse iz industrijskog standarda kako bi označila potencijalni uticaj ranjivosti kao visok, srednji ili nizak. Ovaj pristup prati zajednički sistem rangiranja ranjivosti CVSS (Common Vulnerability Scoring System), koji obezbeđuje otvoreni radni okvir za komunikaciju o karakteristikama i uticaju IT ranjivosti. Sistem CVSS omogućava IT menadžerima, dobavljačima biltena o ranjivostima, prodavcima bezbednosnih rešenja, prodavcima aplikacija i istraživačima da imaju korist od usvajanja zajedničkog jezika za ocenjivanje IT ranjivosti.

Opis

Bezbednosna upozorenja su napisana da jasno objasne ranjivost, uključujući njen naziv, uzrok i druge dostupne informacije. Upozorenja pružaju informacije o poznatim pretnjama koje se odnose na određenu ranjivost (npr. postojanje koda o eksploataciji ili dokazu o izvodljivosti, diskusije ili dokaza o incidentnim aktivnostima). Ova upozorenja opisuju i potencijalne/očekivane posledice napada na ranjivost.

Uticaj proizvoda

Generalno, upozorenja o bezbednosti obuhvataju listu Lenovo proizvoda koja imaju jedan od sledećih statusa: „Ugrožen“, „Nije ugrožen“ ili „Pod istragom“. Ugroženi proizvodi će sadržati vezu ka popravci koja može da se preuzme sa lokacije za podršku kompanije Lenovo (na kojoj se održavaju sva ažuriranja) ili preporučeno alternativno rešenje i/ili ciljni datum za popravku. U slučajevima kada je ranjivost specifična za određenu grupu proizvoda, kompanija Lenovo može da pruži listu samo ugroženih proizvoda.  U nekim prilikama kompanija Lenovo može smatrati da je neophodno da objavi bezbednosno upozorenje pre nego što završi procenu uticaja na sve proizvode. U tim slučajevima će se prikazati status Pod istragom. Preporučujemo korisnicima da posete lokaciju za bezbednosna upozorenja da bi bili u toku sa statusom upozorenja.

Rešenje

Kada se radi o ranjivosti proizvoda, upozorenje pruža informacije o tome kako da pribavite popravku ili bezbednosnu ispravku. U nekim slučajevima, alternativno rešenje može da se preporuči da bi pomoglo korisnicima da zaštite ugrožene proizvode koji se koriste putem operativnih napora ili ograničavanjem korišćenja na određeni način bez primene bezbednosnih popravki ili zakrpa.

Reference

Ako su dostupne dodatne informacije o ranjivosti, ova upozorenja će pružiti veze kao referencu. Ovo obuhvata veze ka CVE ili citatima iz blogova ili članaka.

Potvrda

Uobičajeno je da potvrdimo napore istraživača ili pronalazača ranjivosti i, uz njegovu dozvolu, pominjemo njegov doprinos.

Istorija revizije

Kada se naprave ažuriranja za upozorenje, istorija revizije će prikazati šta je ažurirano i kada je to učinjeno.

Napomena: svi aspekti ovog procesa su podložni promeni bez prethodnog obaveštenja, kao i izuzeci od slučaja do slučaja. Ne garantuje se nijedan određeni nivo odgovora ni za kakav specifičan problem ili klasu problema.

DELI