SICK AG産品和(hé)服務符合高(gāo)質量要求。這就是為(wèi)什麽在開(kāi)發階段要考慮和(hé)測試網絡安全的原因。為(wèi)了确保産品和(hé)服務在其整個(gè)使用壽命期間(jiān)都是安全的,我們會(huì)非常認真地對待關于可(kě)能漏洞的報告,并以最大(dà)的責任感來(lái)處理(lǐ)這些(xiē)報告。發現漏洞是各方的共同目标,旨在為(wèi)我們的客戶提供始終如一的高(gāo)安全級别。
SICK PSIRT是SICK AG的核心團隊,有(yǒu)權回答(dá)有(yǒu)關産品、解決方案和(hé)服務網絡安全的報告并提供信息。所有(yǒu)與患病的AG産品相關的潛在漏洞或其他安全事故相關的報告都可(kě)以傳遞給患病的PSIRT。
病态PSIRT管理(lǐ)安全漏洞的檢查、內(nèi)部協調和(hé)披露。一旦有(yǒu)解決方案,就會(huì)針對已确認的漏洞發布安全公告。如果情況需要,在更新可(kě)用之前,會(huì)發出包含要采取的措施的安全建議。
非常歡迎任何人(rén)關于潛在漏洞或其他事件的報告,無論其客戶身份如何。SICK AG尊重并考慮到報告者的不同利益,并鼓勵向SICK PSIRT報告信息。目的是遵循漏洞協同披露流程(協同漏洞披露)。
患病的PSIRT旨在與各自的記者一起以保密和(hé)專業的方式處理(lǐ)每個(gè)漏洞。保密協議(NDA)或其他類型的合同都不是合作(zuò)的必要條件。非常感謝來(lái)自安全社區(qū)所有(yǒu)成員的協調漏洞報告。其中包括安全研究人(rén)員、大(dà)學、CERTs、業務合作(zuò)夥伴、其他機構、行(xíng)業協會(huì)和(hé)供應商。許多(duō)患病的AG産品具有(yǒu)重要的保護功能,用于關鍵基礎設施。因此,SICK AG在處理(lǐ)漏洞的協調披露時(shí)要求合作(zuò),并要求不要過早披露漏洞信息。
SICK AG要求在報告中提供盡可(kě)能多(duō)的信息以加快處理(lǐ)速度。該信息應包含以下內(nèi)容:
聯系信息和(hé)可(kě)用性
受影(yǐng)響的産品包括型号和(hé)版本号
漏洞的分類(緩沖區(qū)溢出,XSS,……)
漏洞的詳細描述(如有(yǒu)可(kě)能,進行(xíng)驗證)
漏洞的影(yǐng)響(如果知道(dào))
當前對漏洞的了解程度(有(yǒu)計(jì)劃披露嗎?)
記者(公司)隸屬關系(如果記者準備提供此類信息)
CVSS分數(shù)(如果已知)
如果檢查漏洞需要更多(duō)信息,患病的PSIRT将聯系報告者。如果報告者願意,他/她将在披露新漏洞後得(de)到公開(kāi)承認。
