Postępowanie z lukami w zabezpieczeniach produktów OMICRON i ujawnianie informacji o nich

W firmie OMICRON traktujemy bardzo poważnie wszystkie informacje dotyczące luk i słabych punktów występujących w naszych produktach. Jesteśmy wdzięczni za każde zgłoszenie, które pomaga nam w poprawie ich zabezpieczeń. Dlatego też zastosowaliśmy podejście systemowe przy otrzymywaniu, przetwarzaniu i ujawnianiu tego rodzaju informacji o lukach.

Skoordynowane ujawnianie

Jesteśmy świadomi naszego obowiązku przyczyniania się do wzrostu poziomu bezpieczeństwa cybernetycznego, szczególnie w obrębie infrastruktury krytycznej. Dlatego też chcemy informować naszych klientów o potwierdzonych i istotnych słabych punktach naszych produktów, zamieszczając ich opisy w sekcji Doradztwa w zakresie bezpieczeństwa poniżej. Jednak, aby uniknąć niepotrzebnego ryzyka dla naszych klientów, zachęcamy każdego, kto wykryje lukę do nieupubliczniania tego rodzaju informacji, dopóki nie poddamy ocenie wszystkich możliwych działań zaradczych.

Product Security Team firmy OMICRON

W firmie OMICRON działa Product Security Team (zespół ds. zabezpieczeń produktów), odpowiedzialny za zarządzanie kwestiami bezpieczeństwa i podejmowania dalszych czynności związanych z ujawnianiem informacji. Członkowie tego zespołu chętnie odpowiedzą na wszelkie pytania związane ze słabymi punktami produktów OMICRON. Jeżeli to możliwe, prosimy o korzystanie z szyfrowanych wiadomości e-mail.

security@omicronenergy.com

Klucz publiczny PGP3,14 kB
Odcisk palca: 90F2 6F91 6186 22EA AFF1 06A0 F014 F4B8 C72E C818

Postępowanie z lukami i proces ich ujawniania

  

 

Aby zapewnić niezawodne i skuteczne postępowanie z istotnymi kwestami dotyczącymi zabezpieczeń oraz ujawnianie informacji o nich, stworzyliśmy całościowy i systematyczny proces. Poniżej zamieszczamy bardziej szczegółowe informacje dotyczące każdego etapu tego procesu.


1. Zgłoszenie

Zachęcamy wszystkich użytkowników do zgłaszania problemów z zabezpieczeniami produktów firmy OMICRON.
Szanujemy Twoją prywatność – nie upublicznimy żadnych informacji, które Ciebie dotyczą, bez Twojej wyraźnej zgody.

Możliwe jest anonimowe zgłoszenie wykrytego problemu z zabezpieczeniami. Jednak, jeżeli takie będzie Twoje życzenie, oficjalnie podziękujemy Ci za znalezienie słabego punktu w naszej sekcji doradztwa w zakresie bezpieczeństwa.

W celu zgłoszenia problemu dotyczącego luki skontaktuj się z Product Security Team, o którym pisaliśmy wcześniej. Podczas zgłaszania problemów związanych z bezpieczeństwem prosimy o przedstawienie możliwie jak najwięcej szczegółów i umieszczenie w zgłoszeniu następujących informacji:

  • Produkt firmy OMICRON, włącznie z jego dokładną wersją, którego dotyczy problem
  • Szczegółowy opis znalezionej luki
  • Jeżeli będzie to możliwe, prosimy o załączenie dostępnych kodów wykorzystujących daną lukę lub opisu krok po kroku podejścia, które umożliwia wykrycie luki
  • Czy istnieją plany upublicznienia informacji dotyczącej luki?
  •  


2. Analiza

Po otrzymaniu zgłoszenia rozpoczniemy dogłębną analizę problemu związanego z zabezpieczeniami. Naszym celem jest odtworzenie problemu i wykrycie jego pierwotnej przyczyny.


3. Ocena

Po zakończeniu analizy problemu związanego z zabezpieczeniami dokonamy oceny prawdopodobieństwa wystąpienia potencjalnych skutków istnienia danej luki dla naszych klientów.


4. Środki zaradcze

W oparciu o naszą ocenę, możemy podjąć dalsze środki zaradcze. Jednym z nich może być przygotowanie łatki dla klientów, których dotyczy problem, co pociągnie za sobą strukturalne ujawnienie słabego punktu.


5. Ujawnienie

Jesteśmy świadomi naszej odpowiedzialności i tego, jak wielkie znaczenie ma informowanie klientów, których dotyczy problem, o lukach i słabych punktach występujących w produktach OMICRON, w celu uniknięcia potencjalnych szkód. Dlatego też wszystkie problemy z zabezpieczeniami będą traktowane poważnie, a klienci, których mogą dotknąć te problemy, będą informowani.
Będziemy upubliczniać następujące informacje:

  • Opis luki
  • Produkty firmy OMICRON, włącznie z ich dokładnymi wersjami, których dotyczy problem
  • Punktacja CVSS
  • Wpis CVE (jeżeli ma zastosowanie)
  • Wymagane czynności zaradcze, które należy podjąć w związku z luką
  • Podziękowania (jeżeli takie będzie życzenie znalazcy luki)
  •  

Zalecenia dotyczące bezpieczeństwa

Poniżej można znaleźć wszystkie ostrzeżenia dotyczące bezpieczeństwa, które zostały znalezione i opublikowane w międzyczasie.

IDTytułProdukty, których dotyczy problemIdentyfikator CVEPunktacja CVSSOstatnia aktualizacjaPobierz

Bądź na bieżąco

Poniżej znajdziesz nasze kanały RSS dotyczące poszczególnych produktów, aby otrzymywać informacje o nowych lub zaktualizowanych biuletynach bezpieczeństwa. Po prostu wybierz żądany produkt, aby otrzymać odpowiedni link RSS, który można zintegrować z wybranym przez Ciebie czytnikiem RSS.


You are using an outdated browser version.
Please upgrade your browser or use another browser to view this page correctly.
×