Рекомендации по обеспечению безопасности продуктов

Политика раскрытия информации об уязвимостях


Введение

Analog Devices Inc (далее «ADI») стремится снизить риски, связанные с уязвимостями в плане безопасности, которые могут быть обнаружены в наших продуктах. Мы стремимся достичь этой цели, анализируя обнаруженные и выявленные уязвимости и предоставляя нашим заказчикам своевременную информацию, аналитические данные и рекомендации по их устранению.

После изучения и проверки обнаруженной уязвимости ADI будет стремиться создать соответствующее средство устранения уязвимости, если она сочтет это необходимым. Такое средство может принимать одну из следующих форм:

  • новая версия продукта, патч или обновление
  • процедуры исправления, которые позволят обойти или решить проблему безопасности
  • дополнительные рекомендации, которыми заказчики могут руководствоваться с целью обеспечения защиты от выявленных проблем в конкретных продуктах.

ADI приложит все усилия, чтобы предпринять меры по созданию средств устранения уязвимости или принятию корректирующих действий в минимальные разумные сроки, чтобы защитить наших заказчиков и партнеров. ADI передает информацию о безопасности и/или сообщает об обновлениях заказчикам через наши стандартные каналы поддержки и через сайт www.analog.com/security.


Рекомендации

Мы просим всех тех, кто занимается поиском уязвимостей:

  • Сделайте все возможное, чтобы избежать нарушений конфиденциальности, ухудшения восприятия пользователем, нарушения работы производственных систем и уничтожения данных во время проверки безопасности.
  • Проводите исследования только в рамках областей исследований на уязвимости, указанных ниже.
  • Используйте только идентифицированные каналы связи для предоставления информации об уязвимостях.
  • Сохраняйте конфиденциальность информации обо всех обнаруженных вами уязвимостях, она должна быть доступна только вам и Analog Devices Inc до тех пор, пока раскрытие этой информации не будет одобрено как стороной, нашедшей уязвимости, так и Analog Devices.
  • Оставайтесь на связи и сотрудничайте с нами во время нашей совместной работы над этим процессом.

Если вы будете следовать этим рекомендациям, сообщая нам об уязвимостях, мы обязуемся:

  • Не возбуждать и не поддерживать какие-либо юридические действия, связанные с вашими исследованиями относительно поисков уязвимостей (за исключением злоумышленных действий).
  • Сотрудничать с вами, чтобы быстро понять и устранить проблемы, связанные с уязвимостью (сроки включают первоначальное подтверждение вашего отчета в течение 2 рабочих дней с момента отправки).
  • Analog Devices может оценить ваше содействие, если вы будете первым, кто сообщит об уязвимости, и мы внесем изменения в продукт или изменим его настройки в зависимости от характера выявленной уязвимости.

Области проведения исследований на уязвимости

  • Продукты и программное обеспечение ADI
  • Услуги и инфраструктура
  • Документация на продукты

Примечание: конкретная информация, запрашиваемая для каждого типа продукта, доступна ниже.


Не рассматриваемые области проведения исследований на уязвимости:

В интересах безопасности наших пользователей, персонала, Интернета в целом и вас как исследователя безопасности следующие типы проверок не входят в перечень допустимых действий с целью выявления уязвимостей:

  • Результаты физического тестирования объектов, таких как системы доступа в офис (например, открытые двери, несанкционированный проход)
  • Результаты, полученные в основном методами социальной инженерии (например, фишинг, вишинг)
  • Результаты, полученные от приложений или систем, не перечисленных в разделе «Области проведения исследований на уязвимости»
  • Ошибки пользовательского интерфейса и элементов дизайна, не имеющих последствий в плане безопасности
  • Орфографические ошибки
  • Уязвимости в плане отказа в обслуживании на уровне сети (DoS/DDoS)
  • Результаты, относящиеся к компонентам, не произведенным ADI, на оценочных платах ADI

Analog Devices однозначно запрещает включение в отчет об уязвимости следующей информации:

  • Личная информация
  • Данные владельца кредитной карты
  • Секретные данные
  • Двоичные файлы. Пожалуйста, предоставляйте исходный код, если это возможно

Отчетность

Если вы считаете, что обнаружили уязвимость в одном из наших продуктов или одной из наших платформ, отправьте нам отчет о выполненном поиске на электронную почту securityalert@analog.com. Пожалуйста, включите следующую информацию в ваш отчет:

  • Ваше имя/должность и по вашему желанию ссылка для узнавания в отчетах
  • Ваш открытый ключ PGP, чтобы мы могли продолжить общение с вами
  • Подробности, относящиеся к продукту, согласно шаблонам отчетов, приведенным ниже

Чтобы гарантировать, что сведения об уязвимостях безопасности не будут раскрыты преждевременно, мы просим исследователей уязвимостей шифровать пересылаемые по электронной почте письма с помощью нашего открытого ключа PGP.

Отпечаток открытого ключа PGP: 3595 2848 ABDC D94B A904 8437 EE41 3D2E B4F6 2E9B


Раскрытие информации об уязвимости

До раскрытия информации об уязвимости мы выполним следующие действия, если они будут возможны:

  • Проверка отчета о поиске уязвимостей
  • Согласование с вами сроков устранения уязвимостей (если это возможно) и раскрытия информации (если это возможно) (мы можем попросить продлить период неразглашения)
  • Общение с другими сторонами в рамках многостороннего скоординированного раскрытия информации
  • Получение идентификаторов базы данных общеизвестных уязвимостей информационной безопасности (CVE) для отслеживания
  • Согласование с вами стратегии устранения уязвимостей
  • Публикация раскрытой информации на www.analog.com/security при необходимости

Права заказчиков: гарантии, поддержка и обслуживание

Права заказчиков ADI в отношении гарантий, обслуживания и поддержки продукта или услуги ADI регулируются исключительно нашими Стандартными условиями продажи и любыми другими применимыми соглашениями между ADI и каждым заказчиком.

Заявления на этой веб-странице не изменяют и не расширяют какие-либо права заказчиков и не создают никаких дополнительных гарантий, явных или подразумеваемых. Любая информация, предоставляемая ADI относительно уязвимостей в продуктах ADI, в том числе вся информация в отчете об уязвимостях продукта, становится исключительной собственностью ADI и может использоваться ADI без каких-либо обязательств по учету или оплате распространителю такой информации.

Шаблоны составления отчетов

Уязвимости программного обеспечения

X+
  1. Наименование продукта – стандартное название, используемое для решения
  2. Номер версии продукта
  3. Операционная система хоста – если имеется
  4. Номер версии операционной системы хоста
  5. Ожидаемая функциональность
  6. Функциональность после использования
  7. Действия для воспроизведения уязвимости
  8. Пример исходного кода – если имеется
  9. Контактная информация нашедшего уязвимость – лучший способ связаться с нашедшим уязвимость
  10. Другие вовлеченные стороны (если таковые имеются), необходимые для скоординированного раскрытия информации
  11. План(ы) по раскрытию информации – когда нашедший уязвимость планирует раскрывать информацию
  12. Оценка угрозы/риска/негативного воздействия – что видит нашедший уязвимость в качестве угрозы, риска и негативного воздействия (высокий, средний, низкий уровни уязвимости)
  13. Конфигурация – какова конфигурация системы и оборудования

Уязвимости аппаратного обеспечения

X+
  1. Номер модели аппаратного обеспечения, как указано на упаковке продукта
  2. Номер версии аппаратного обеспечения
  3. Ожидаемая функциональность
  4. Функциональность после использования
  5. Действия для воспроизведения уязвимости
  6. Пример исходного кода – если имеется
  7. Контактная информация нашедшего уязвимость – лучший способ связаться с нашедшим уязвимость
  8. Другие вовлеченные стороны (если таковые имеются), необходимые для скоординированного раскрытия информации
  9. План(ы) по раскрытию информации – когда нашедший уязвимость планирует раскрывать информацию
  10. Оценка угрозы/риска/негативного воздействия – что видит нашедший уязвимость в качестве угрозы, риска и негативного воздействия (высокий, средний, низкий уровни уязвимости)
  11. Конфигурация – какова конфигурация аппаратного обеспечения (схемотехника, программное обеспечение, схема подключения для отладки и т.д.)

Уязвимости облачных сервисов

X+
  1. Время и дата обнаружения – если известно
  2. Унифицированный указатель ресурса (URL) сервиса
  3. Конфигурация браузера – если используется
  4. Входные данные, необходимые для воспроизведения уязвимости
  5. Действия для воспроизведения уязвимости
  6. Пример исходного кода – если имеется
  7. Контактная информация нашедшего уязвимость – лучший способ связаться с нашедшим уязвимость
  8. Другие вовлеченные стороны (если таковые имеются), необходимые для скоординированного раскрытия информации
  9. План(ы) по раскрытию информации – когда нашедший уязвимость планирует раскрывать информацию
  10. Оценка угрозы/риска/негативного воздействия – что видит нашедший уязвимость в качестве угрозы, риска и негативного воздействия (высокий, средний, низкий уровни уязвимости)
  11. Конфигурация системы – если имеет отношение к уязвимости