Рекомендации по обеспечению безопасности продуктов
Политика раскрытия информации об уязвимостях
Введение
Analog Devices Inc (далее «ADI») стремится снизить риски, связанные с уязвимостями в плане безопасности, которые могут быть обнаружены в наших продуктах. Мы стремимся достичь этой цели, анализируя обнаруженные и выявленные уязвимости и предоставляя нашим заказчикам своевременную информацию, аналитические данные и рекомендации по их устранению.
После изучения и проверки обнаруженной уязвимости ADI будет стремиться создать соответствующее средство устранения уязвимости, если она сочтет это необходимым. Такое средство может принимать одну из следующих форм:
- новая версия продукта, патч или обновление
- процедуры исправления, которые позволят обойти или решить проблему безопасности
- дополнительные рекомендации, которыми заказчики могут руководствоваться с целью обеспечения защиты от выявленных проблем в конкретных продуктах.
ADI приложит все усилия, чтобы предпринять меры по созданию средств устранения уязвимости или принятию корректирующих действий в минимальные разумные сроки, чтобы защитить наших заказчиков и партнеров. ADI передает информацию о безопасности и/или сообщает об обновлениях заказчикам через наши стандартные каналы поддержки и через сайт www.analog.com/security.
Рекомендации
Мы просим всех тех, кто занимается поиском уязвимостей:
- Сделайте все возможное, чтобы избежать нарушений конфиденциальности, ухудшения восприятия пользователем, нарушения работы производственных систем и уничтожения данных во время проверки безопасности.
- Проводите исследования только в рамках областей исследований на уязвимости, указанных ниже.
- Используйте только идентифицированные каналы связи для предоставления информации об уязвимостях.
- Сохраняйте конфиденциальность информации обо всех обнаруженных вами уязвимостях, она должна быть доступна только вам и Analog Devices Inc до тех пор, пока раскрытие этой информации не будет одобрено как стороной, нашедшей уязвимости, так и Analog Devices.
- Оставайтесь на связи и сотрудничайте с нами во время нашей совместной работы над этим процессом.
Если вы будете следовать этим рекомендациям, сообщая нам об уязвимостях, мы обязуемся:
- Не возбуждать и не поддерживать какие-либо юридические действия, связанные с вашими исследованиями относительно поисков уязвимостей (за исключением злоумышленных действий).
- Сотрудничать с вами, чтобы быстро понять и устранить проблемы, связанные с уязвимостью (сроки включают первоначальное подтверждение вашего отчета в течение 2 рабочих дней с момента отправки).
- Analog Devices может оценить ваше содействие, если вы будете первым, кто сообщит об уязвимости, и мы внесем изменения в продукт или изменим его настройки в зависимости от характера выявленной уязвимости.
Области проведения исследований на уязвимости
- Продукты и программное обеспечение ADI
- Услуги и инфраструктура
- Документация на продукты
Примечание: конкретная информация, запрашиваемая для каждого типа продукта, доступна ниже.
Не рассматриваемые области проведения исследований на уязвимости:
В интересах безопасности наших пользователей, персонала, Интернета в целом и вас как исследователя безопасности следующие типы проверок не входят в перечень допустимых действий с целью выявления уязвимостей:
- Результаты физического тестирования объектов, таких как системы доступа в офис (например, открытые двери, несанкционированный проход)
- Результаты, полученные в основном методами социальной инженерии (например, фишинг, вишинг)
- Результаты, полученные от приложений или систем, не перечисленных в разделе «Области проведения исследований на уязвимости»
- Ошибки пользовательского интерфейса и элементов дизайна, не имеющих последствий в плане безопасности
- Орфографические ошибки
- Уязвимости в плане отказа в обслуживании на уровне сети (DoS/DDoS)
- Результаты, относящиеся к компонентам, не произведенным ADI, на оценочных платах ADI
Analog Devices однозначно запрещает включение в отчет об уязвимости следующей информации:
- Личная информация
- Данные владельца кредитной карты
- Секретные данные
- Двоичные файлы. Пожалуйста, предоставляйте исходный код, если это возможно
Отчетность
Если вы считаете, что обнаружили уязвимость в одном из наших продуктов или одной из наших платформ, отправьте нам отчет о выполненном поиске на электронную почту securityalert@analog.com. Пожалуйста, включите следующую информацию в ваш отчет:
- Ваше имя/должность и по вашему желанию ссылка для узнавания в отчетах
- Ваш открытый ключ PGP, чтобы мы могли продолжить общение с вами
- Подробности, относящиеся к продукту, согласно шаблонам отчетов, приведенным ниже
Чтобы гарантировать, что сведения об уязвимостях безопасности не будут раскрыты преждевременно, мы просим исследователей уязвимостей шифровать пересылаемые по электронной почте письма с помощью нашего открытого ключа PGP.
Отпечаток открытого ключа PGP: 3595 2848 ABDC D94B A904 8437 EE41 3D2E B4F6 2E9B
Раскрытие информации об уязвимости
До раскрытия информации об уязвимости мы выполним следующие действия, если они будут возможны:
- Проверка отчета о поиске уязвимостей
- Согласование с вами сроков устранения уязвимостей (если это возможно) и раскрытия информации (если это возможно) (мы можем попросить продлить период неразглашения)
- Общение с другими сторонами в рамках многостороннего скоординированного раскрытия информации
- Получение идентификаторов базы данных общеизвестных уязвимостей информационной безопасности (CVE) для отслеживания
- Согласование с вами стратегии устранения уязвимостей
- Публикация раскрытой информации на www.analog.com/security при необходимости
Права заказчиков: гарантии, поддержка и обслуживание
Права заказчиков ADI в отношении гарантий, обслуживания и поддержки продукта или услуги ADI регулируются исключительно нашими Стандартными условиями продажи и любыми другими применимыми соглашениями между ADI и каждым заказчиком.
Заявления на этой веб-странице не изменяют и не расширяют какие-либо права заказчиков и не создают никаких дополнительных гарантий, явных или подразумеваемых. Любая информация, предоставляемая ADI относительно уязвимостей в продуктах ADI, в том числе вся информация в отчете об уязвимостях продукта, становится исключительной собственностью ADI и может использоваться ADI без каких-либо обязательств по учету или оплате распространителю такой информации.
- Наименование продукта – стандартное название, используемое для решения
- Номер версии продукта
- Операционная система хоста – если имеется
- Номер версии операционной системы хоста
- Ожидаемая функциональность
- Функциональность после использования
- Действия для воспроизведения уязвимости
- Пример исходного кода – если имеется
- Контактная информация нашедшего уязвимость – лучший способ связаться с нашедшим уязвимость
- Другие вовлеченные стороны (если таковые имеются), необходимые для скоординированного раскрытия информации
- План(ы) по раскрытию информации – когда нашедший уязвимость планирует раскрывать информацию
- Оценка угрозы/риска/негативного воздействия – что видит нашедший уязвимость в качестве угрозы, риска и негативного воздействия (высокий, средний, низкий уровни уязвимости)
- Конфигурация – какова конфигурация системы и оборудования
- Номер модели аппаратного обеспечения, как указано на упаковке продукта
- Номер версии аппаратного обеспечения
- Ожидаемая функциональность
- Функциональность после использования
- Действия для воспроизведения уязвимости
- Пример исходного кода – если имеется
- Контактная информация нашедшего уязвимость – лучший способ связаться с нашедшим уязвимость
- Другие вовлеченные стороны (если таковые имеются), необходимые для скоординированного раскрытия информации
- План(ы) по раскрытию информации – когда нашедший уязвимость планирует раскрывать информацию
- Оценка угрозы/риска/негативного воздействия – что видит нашедший уязвимость в качестве угрозы, риска и негативного воздействия (высокий, средний, низкий уровни уязвимости)
- Конфигурация – какова конфигурация аппаратного обеспечения (схемотехника, программное обеспечение, схема подключения для отладки и т.д.)
- Время и дата обнаружения – если известно
- Унифицированный указатель ресурса (URL) сервиса
- Конфигурация браузера – если используется
- Входные данные, необходимые для воспроизведения уязвимости
- Действия для воспроизведения уязвимости
- Пример исходного кода – если имеется
- Контактная информация нашедшего уязвимость – лучший способ связаться с нашедшим уязвимость
- Другие вовлеченные стороны (если таковые имеются), необходимые для скоординированного раскрытия информации
- План(ы) по раскрытию информации – когда нашедший уязвимость планирует раскрывать информацию
- Оценка угрозы/риска/негативного воздействия – что видит нашедший уязвимость в качестве угрозы, риска и негативного воздействия (высокий, средний, низкий уровни уязвимости)
- Конфигурация системы – если имеет отношение к уязвимости