Политика раскрытия информации об уязвимостях

Введение

Analog Devices Inc (далее «ADI») стремится снизить риски, связанные с уязвимостями в плане безопасности, которые могут быть обнаружены в наших продуктах. Мы стремимся достичь этой цели, анализируя обнаруженные и выявленные уязвимости и предоставляя нашим заказчикам своевременную информацию, аналитические данные и рекомендации по их устранению.

После изучения и проверки обнаруженной уязвимости ADI будет стремиться создать соответствующее средство устранения уязвимости, если она сочтет это необходимым. Такое средство может принимать одну из следующих форм:

• новая версия продукта, патч или обновление
• процедуры исправления, которые позволят обойти или решить проблему безопасности
• дополнительные рекомендации, которыми заказчики могут руководствоваться с целью обеспечения защиты от выявленных проблем в конкретных продуктах.

ADI приложит все усилия, чтобы предпринять меры по созданию средств устранения уязвимости или принятию корректирующих действий в минимальные разумные сроки, чтобы защитить наших заказчиков и партнеров. ADI передает информацию о безопасности и/или сообщает об обновлениях заказчикам через наши стандартные каналы поддержки и через сайт www.analog.com/security.

Рекомендации

Мы просим всех тех, кто занимается поиском уязвимостей:

• Сделайте все возможное, чтобы избежать нарушений конфиденциальности, ухудшения восприятия пользователем, нарушения работы производственных систем и уничтожения данных во время проверки безопасности.
• Проводите исследования только в рамках областей исследований на уязвимости, указанных ниже.
• Используйте только идентифицированные каналы связи для предоставления информации об уязвимостях.
• Сохраняйте конфиденциальность информации обо всех обнаруженных вами уязвимостях, она должна быть доступна только вам и Analog Devices Inc до тех пор, пока раскрытие этой информации не будет одобрено как стороной, нашедшей уязвимости, так и Analog Devices.
• Оставайтесь на связи и сотрудничайте с нами во время нашей совместной работы над этим процессом.

Если вы будете следовать этим рекомендациям, сообщая нам об уязвимостях, мы обязуемся:

• Не возбуждать и не поддерживать какие-либо юридические действия, связанные с вашими исследованиями относительно поисков уязвимостей (за исключением злоумышленных действий).
• Сотрудничать с вами, чтобы быстро понять и устранить проблемы, связанные с уязвимостью (сроки включают первоначальное подтверждение вашего отчета в течение 2 рабочих дней с момента отправки).
• Analog Devices может оценить ваше содействие, если вы будете первым, кто сообщит об уязвимости, и мы внесем изменения в продукт или изменим его настройки в зависимости от характера выявленной уязвимости.

Области проведения исследований на уязвимости

• Продукты и программное обеспечение ADI
• Услуги и инфраструктура
• Документация на продукты

Примечание: конкретная информация, запрашиваемая для каждого типа продукта, доступна ниже.

Не рассматриваемые области проведения исследований на уязвимости:

В интересах безопасности наших пользователей, персонала, Интернета в целом и вас как исследователя безопасности следующие типы проверок не входят в перечень допустимых действий с целью выявления уязвимостей:

• Результаты физического тестирования объектов, таких как системы доступа в офис (например, открытые двери, несанкционированный проход)
• Результаты, полученные в основном методами социальной инженерии (например, фишинг, вишинг)
• Результаты, полученные от приложений или систем, не перечисленных в разделе «Области проведения исследований на уязвимости»
• Ошибки пользовательского интерфейса и элементов дизайна, не имеющих последствий в плане безопасности
• Орфографические ошибки
• Уязвимости в плане отказа в обслуживании на уровне сети (DoS/DDoS)
• Результаты, относящиеся к компонентам, не произведенным ADI, на оценочных платах ADI

Analog Devices однозначно запрещает включение в отчет об уязвимости следующей информации:

• Личная информация
• Данные владельца кредитной карты
• Секретные данные
• Двоичные файлы. Пожалуйста, предоставляйте исходный код, если это возможно

Отчетность

Если вы считаете, что обнаружили уязвимость в одном из наших продуктов или одной из наших платформ, отправьте нам отчет о выполненном поиске на электронную почту securityalert@analog.com. Пожалуйста, включите следующую информацию в ваш отчет:

• Ваше имя/должность и по вашему желанию ссылка для узнавания в отчетах
• Ваш открытый ключ PGP, чтобы мы могли продолжить общение с вами
• Подробности, относящиеся к продукту, согласно шаблонам отчетов, приведенным ниже

Чтобы гарантировать, что сведения об уязвимостях безопасности не будут раскрыты преждевременно, мы просим исследователей уязвимостей шифровать пересылаемые по электронной почте письма с помощью нашего открытого ключа PGP.

Отпечаток открытого ключа PGP: 3595 2848 ABDC D94B A904 8437 EE41 3D2E B4F6 2E9B

Раскрытие информации об уязвимости

До раскрытия информации об уязвимости мы выполним следующие действия, если они будут возможны:

• Проверка отчета о поиске уязвимостей
• Согласование с вами сроков устранения уязвимостей (если это возможно) и раскрытия информации (если это возможно) (мы можем попросить продлить период неразглашения)
• Общение с другими сторонами в рамках многостороннего скоординированного раскрытия информации
• Получение идентификаторов базы данных общеизвестных уязвимостей информационной безопасности (CVE) для отслеживания
• Согласование с вами стратегии устранения уязвимостей
• Публикация раскрытой информации на www.analog.com/security при необходимости
  

Права заказчиков: гарантии, поддержка и обслуживание

Права заказчиков ADI в отношении гарантий, обслуживания и поддержки продукта или услуги ADI регулируются исключительно нашими Стандартными условиями продажи и любыми другими применимыми соглашениями между ADI и каждым заказчиком.

Заявления на этой веб-странице не изменяют и не расширяют какие-либо права заказчиков и не создают никаких дополнительных гарантий, явных или подразумеваемых. Любая информация, предоставляемая ADI относительно уязвимостей в продуктах ADI, в том числе вся информация в отчете об уязвимостях продукта, становится исключительной собственностью ADI и может использоваться ADI без каких-либо обязательств по учету или оплате распространителю такой информации.