นโยบายการเปิดเผยช่องโหว่ด้านความปลอดภัย

 

Lenovo มุ่งมั่นที่จะมอบความปลอดภัยของผลิตภัณฑ์และบริการ เมื่อพบช่องโหว่ด้านความปลอดภัย เราจะพยายามแก้ไขอย่างเต็มที่ เอกสารฉบับนี้ระบุถึงนโยบายของ Lenovo เมื่อได้รับรายงานเกี่ยวกับช่องโหว่ด้านความปลอดภัยที่อาจเกิดขึ้นในผลิตภัณฑ์และบริการของเรา ตลอดจนแนวทางปฏิบัติตามมาตรฐานของบริษัทในการแจ้งให้ลูกค้าทราบถึงช่องโหว่ที่ได้รับการยืนยันแล้ว

เมื่อใดที่ควรติดต่อทีม Product Security Incident Response Team (PSIRT)

ติดต่อทีม Product Security Incident Response Team (PSIRT) ของ Lenovo โดยส่งอีเมลไปที่ psirt@lenovo.com หากคุณพบช่องโหว่ด้านความปลอดภัยที่อาจเกิดขึ้นกับผลิตภัณฑ์ตัวใดตัวหนึ่งของเรา หลังจากได้รับรายงานของคุณแล้ว จะมีเจ้าหน้าที่ที่เกี่ยวข้องติดต่อไปเพื่อติดตามเรื่องดังกล่าว

เพื่อให้ข้อมูลเป็นความลับ เราขอแนะนำให้คุณเข้ารหัสข้อมูลสำคัญที่ส่งหาเราทางอีเมล เราสามารถรับข้อความที่เข้ารหัสโดยใช้ OpenPGP ได้ คุณสามารถหาสำเนาคีย์สาธารณะของเราที่ใช้ส่งอีเมลเข้ารหัสได้ที่นี่

ที่อยู่อีเมล psirt@lenovo.com ใช้เพื่อรายงานช่องโหว่ด้านความปลอดภัยที่พบในผลิตภัณฑ์หรือบริการของเราเท่านั้น สำหรับข้อมูลการสนับสนุนทางเทคนิคเกี่ยวกับผลิตภัณฑ์หรือบริการของเรา โปรดไปที่ www.lenovo.com/support

Lenovo จะพยายามตอบกลับรายงานทั้งหมดที่ส่งหาเราภายในเวลา 2 วันทำการ

การรับข้อมูลด้านความปลอดภัยจาก Lenovo

คุณสามารถดูข้อมูลทางเทคนิคเกี่ยวกับประกาศด้านความปลอดภัยของผลิตภัณฑ์และบริการของเราได้บนเว็บไซต์ www.lenovo.com/product_security/advisories ในกรณีส่วนใหญ่ เราจะส่งข้อความแจ้งเมื่อพบวิธีแก้ปัญหาที่ได้ผลสำหรับช่องโหว่ด้านความปลอดภัยนั้นๆ แต่ก็มีบางกรณีที่เราอาจส่งข้อความแจ้งโดยไม่มีวิธีแก้ไข หากช่องโหว่นั้นเป็นที่รู้กันอย่างแพร่หลายในแวดวงระบบความปลอดภัย

เมื่อ Lenovo ได้รับแจ้งจากบุคคลภายนอกว่าพบช่องโหว่ด้านความปลอดภัยของผลิตภัณฑ์ เราจะดำเนินการตรวจสอบและอาจเผยแพร่การเปิดเผยข้อมูลช่องโหว่นั้นร่วมกับบุคคลที่สามดังกล่าว ในบางกรณี Lenovo อาจได้รับข้อมูลเกี่ยวกับช่องโหว่ด้านความปลอดภัยจากซัพพลายเออร์ โดยอยู่ภายใต้ข้อตกลงเก็บรักษาความลับหรือห้ามเปิดเผยข้อมูล ในกรณีดังกล่าว Lenovo จะทำงานร่วมกับซัพพลายเออร์เพื่อขอให้ออกการแก้ไขระบบความปลอดภัย แม้เราจะไม่สามารถให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยนั้นได้ก็ตาม

ความรุนแรง

สำหรับการให้คะแนนหรือจัดอันดับความรุนแรงของช่องโหว่ Lenovo จะปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดตามมาตรฐานอุตสาหกรรมในการจัดระดับความรุนแรงเป็นสูง กลาง หรือต่ำ โดยจะอิงตาม Common Vulnerability Scoring System (CVSS) ซึ่งเป็นกรอบการทำงานแบบเปิดสำหรับการสื่อสารเรื่องลักษณะและผลกระทบของช่องโหว่ด้านไอที CVSS ช่วยให้ผู้จัดการฝ่ายไอที ผู้จัดทำประกาศช่องโหว่ด้านความปลอดภัย ผู้ให้บริการด้านความปลอดภัย ผู้ให้บริการด้านแอปพลิเคชัน และนักวิจัยทำงานง่ายขึ้น เนื่องจากทุกคนใช้ภาษาเดียวกันในการให้คะแนนระดับความรุนแรงของช่องโหว่ด้านไอที

คำอธิบาย

ประกาศด้านความปลอดภัยจะอธิบายเกี่ยวกับช่องโหว่อย่างชัดเจน รวมถึงระบุชื่อ สาเหตุ และข้อมูลอื่นๆ ที่เกี่ยวข้อง ประกาศด้านความปลอดภัยมีข้อมูลเกี่ยวกับภัยคุกคามจากช่องโหว่ที่เป็นที่ทราบ (เช่น มีโค้ด Exploit หรือ Proof-of-concept, หัวข้ออภิปราย หรือหลักฐานการเกิดเหตุการณ์) นอกจากนี้ ประกาศด้านความปลอดภัยจะอธิบายถึงผลลัพธ์ที่อาจเกิดขึ้น/ที่คาดหวังจากการแก้ไขช่องโหว่นั้น

ผลกระทบต่อผลิตภัณฑ์

โดยทั่วไป ประกาศด้านความปลอดภัยจะบอกรายชื่อผลิตภัณฑ์ Lenovo พร้อมทั้งระบุสถานะเป็นได้รับผลกระทบ ไม่ได้รับผลกระทบ หรือกำลังตรวจสอบ ผลิตภัณฑ์ที่ได้รับผลกระทบจะมีลิงก์ไปยังไฟล์แก้ไขซึ่งสามารถดาวน์โหลดได้จากเว็บไซต์บริการสนับสนุนของ Lenovo (ซึ่งมีไฟล์อัปเดตทั้งหมด) หรือวิธีแก้ไขที่แนะนำ และ/หรือวันที่เป้าหมายในการแก้ไข ในกรณีที่ช่องโหว่ด้านความปลอดภัยมีผลกับผลิตภัณฑ์กลุ่มใดกลุ่มหนึ่งโดยเฉพาะ Lenovo อาจระบุแค่รายชื่อของผลิตภัณฑ์ที่ได้รับผลกระทบเท่านั้น  ในบางครั้งคราว Lenovo อาจจำเป็นต้องเผยแพร่ประกาศด้านความปลอดภัยล่วงหน้าก่อนที่จะประเมินผลกระทบต่อผลิตภัณฑ์ทั้งหมดเสร็จสิ้น ในกรณีนี้ เราจะแสดงสถานะเป็นกำลังตรวจสอบ ขอแนะนำให้ลูกค้าเข้าไปดูในเว็บไซต์ประกาศด้านความปลอดภัยเพื่อติดตามสถานะล่าสุด

วิธีแก้ไข

สำหรับช่องโหว่ต่างๆ ในผลิตภัณฑ์ ประกาศด้านความปลอดภัยจะบอกข้อมูลเกี่ยวกับวิธีดาวน์โหลดไฟล์แก้ไขหรือแพทช์ด้านความปลอดภัย ในบางกรณี เราอาจแนะนำวิธีแก้ขัดที่ช่วยให้ลูกค้าปกป้องผลิตภัณฑ์ที่ได้รับผลกระทบในเชิงปฏิบัติ หรือโดยการจำกัดการใช้ด้วยวิธีใดวิธีหนึ่งโดยไม่ต้องใช้ไฟล์แก้ไขหรือแพทช์ด้านความปลอดภัย

แหล่งอ้างอิง

หากมีข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่ด้านความปลอดภัย ประกาศด้านความปลอดภัยจะระบุลิงก์ที่ใช้เป็นแหล่งอ้างอิงด้วย ซึ่งรวมถึงลิงก์ไปยัง CVE หรือการอ้างอิงบล็อกหรือบทความ

การให้เครดิต

โดยปกติแล้ว เราจะแสดงความขอบคุณต่อนักวิจัยหรือผู้ค้นพบช่องโหว่ด้านความปลอดภัย และจะให้เครดิตแก่พวกเขาหากได้รับคำยินยอม

ประวัติการแก้ไข

เมื่อมีการแก้ไขประกาศด้านความปลอดภัย เราจะมีการระบุว่าแก้ไขอะไรบ้างและแก้ไขเมื่อใด

หมายเหตุ: ทุกแง่มุมของกระบวนการนี้อาจมีการเปลี่ยนแปลงโดยไม่ต้องแจ้งให้ทราบล่วงหน้า รวมทั้งมีข้อยกเว้นเป็นรายกรณีไป ไม่มีการรับรองถึงระดับการแก้ไขไม่ว่าจะเป็นปัญหาใดหรือประเภทปัญหาใด

แชร์