Pravilnik družbe Lenovo o razkrivanju ranljivosti

 

Družba Lenovo si prizadeva zagotavljati zaščitene in varne izdelke in storitve. Ko odkrijemo ranljivosti, vestno delamo, da jih odpravimo. V tem dokumentu je opisan pravilnik družbe Lenovo o prejemanju prijav, povezanih z morebitnimi varnostnimi ranljivostmi v izdelkih in storitvah, in standardna praksa družbe glede obveščanja strank o potrjenih ranljivostih.

Kdaj stopiti v stik z ekipo PSIRT (Product Security Incident Response Team)?

Če ste ugotovili, da je v enem od vaših izdelkov morda prisotna varnostna ranljivost, se na ekipo PSIRT družbe Lenovo lahko obrnete tako, da pošljete e-poštno sporočilo na psirt@lenovo.com. Ko prejmemo vašo prijavo o težavi, bo ustrezno osebje stopilo v stik z vami za nadaljnje ukrepanje.

Za zagotavljanje zaupnosti vas pozivamo, da šifrirate morebitne občutljive podatke, ki nam jih pošljete po e-pošti. Prejemamo lahko sporočila, ki so šifrirana s standardom OpenPGP. Kopijo našega javnega ključa, ki ga lahko uporabite za pošiljanje šifrirane e-pošte, najdete tukaj.

E-poštni naslov psirt@lenovo.com je namenjen SAMO za prijavljanje varnostnih ranljivosti izdelkov ali storitev, ki se nanašajo na naše izdelke ali storitve. Za informacije o tehnični podpori za naše izdelke ali storitve obiščite www.lenovo.com/support.

Družba Lenovo si prizadeva, da prejem vseh prejetih prijav potrdi v dveh delovnih dneh.

Informacije o varnosti, ki jih pošilja družba Lenovo

Tehnične informacije o varnostnih nasvetih, povezanih z našimi izdelki in storitvami, so objavljene na našem spletnem mestu za varnost na naslovu www.lenovo.com/product_security/advisories. V večini primerov obvestilo objavimo, ko določimo praktično rešitev ali popravek za določeno varnostno ranljivost. Vendar pa lahko obvestilo velikokrat objavimo, tudi če nimamo rešitve in za ranljivost ve širša varnostna skupnost.

Ko tretja oseba družbo Lenovo obvesti o morebitni ranljivosti, določeni v naših izdelkih, bomo pregledali ugotovitev in v sodelovanju s tretjo osebo objavili ugotovitve. V nekaterih primerih lahko družba Lenovo informacije o varnostni ranljivosti od dobavitelja prejme na podlagi pogodbe o zaupnosti ali nerazkritju informacij. V teh primerih bo družba Lenovo z dobaviteljem sodelovala, da se varnostni popravek lahko objavi, čeprav morda ne bomo mogli zagotoviti podrobnosti o varnostni ranljivosti.

Resnost

Pri točkovanju ali ocenjevanju ranljivosti Lenovo upošteva standardne najboljše prakse na področju, s čimer raven resnosti učinka morebitne ranljivosti opredeli kot »visoko«, »srednjo« ali »nizko«. S tem pristopom se uporablja skupni sistem za točkovanje varnostnih ranljivosti (CVSS), ki zagotavlja odprtokodno ogrodje za obveščanje o značilnostih in učinkih ranljivosti IT. Sistem CVSS vodjem IT, osebam, ki pripravljajo biltene glede ranljivosti, dobaviteljem varnostnih rešitev, dobaviteljem aplikacij in raziskovalcem omogoča, da izkoristijo prednosti uporabe skupnega jezika za ocenjevanje ranljivosti IT.

Opis

Varnostni nasveti so napisani tako, da jasno obrazložijo ranljivost, vključno z imenom, vzrokom in drugimi informacijami, ki so na voljo. Z nasveti se zagotovijo informacije o znanih grožnjah, povezanih z ranljivostjo (npr. obstoj izkoriščevalske kode ali kode za potrditev zasnove, razprave ali dokaz o dejavnosti v zvezi s težavo). V nasvetih so prav tako opisane morebitne/pričakovane posledice napadov na ranljivosti.

Učinek na izdelke

Na splošno varnostni nasveti vključujejo seznam izdelkov Lenovo s stanjem »Prizadet«, »Ni prizadet« ali »Se preiskuje«. Pri prizadetih izdelkih bo na voljo povezava do popravka, ki ga je mogoče prenesti s spletnega mesta za podporo Lenovo (tukaj so vse posodobitve), ali priporočena rešitev in/ali ciljni datum za popravek. V primerih, v katerih se ranljivost nanaša na določen nabor izdelkov, lahko družba Lenovo zagotovi le seznam prizadetih izdelkov.  Družbi Lenovo se kdaj lahko zdi potrebno, da varnostni nasvet objavi, preden zaključi ocenjevanje učinka za vse izdelke. V teh primerih bo prikazano stanje »Se preiskuje«. Priporočljivo je, da stranke obiskujejo mesto z varnostnimi nasveti, saj bodo tako vedno obveščene o stanju.

Rešitev

V nasvetih so za ranljivosti v izdelku navedene informacije, kako lahko pridobite popravek ali varnostno rešitev. V nekaterih primerih se lahko priporoča rešitev, s katero stranke lažje zaščitijo prizadete izdelke, ki jih uporabljajo, in sicer s svojim načinom dela ali z določeno omejeno uporabo, ne da pri tem uporabili varnostni popravek ali rešitev.

Reference

Če so na voljo dodatne informacije o ranljivosti, vam bodo v nasvetih na voljo povezave za referenco. To vključuje povezave do vnosov v slovarju CVE oz. navedb v spletnem dnevniku ali članku.

Potrditev

Običajno si prizadevamo za potrditev raziskovalca ali osebe, ki je odkrila ranljivosti, ter jim z njihovim dovoljenjem pripišemo zasluge.

Zgodovina revizij

Ko nek nasvet posodobimo, je v zgodovini revizij prikazano, kaj smo posodobili in kdaj.

Upoštevajte: Vsi vidiki tega postopka se lahko brez obvestila spremenijo, vključno z izjemami glede na posamezen primer. Za nobeno posebno težavo ali vrsto težav ni zajamčena nikakršna posebna raven odziva.

DELI