揭露政策
1. 目的
本政策旨在建立一套有組織的流程,用於識別、評估、緩解與揭露我們產品中的資安弱點,藉此保護客戶與利害關係人,確保能及時且有效地管理潛在安全風險。
2. 適用範圍
本政策適用於所有由 ATOP 開發、生產或銷售的標準產品,包括硬體、韌體與軟體。客製化或非標準產品可能另有專屬協議或政策。
3. 名詞定義
- 弱點:可能被利用來破壞產品安全的漏洞。
- PSIRT:產品資安事件應變小組,負責管理產品安全事件與弱點。
- CVSS:通用弱點評分系統,用於評估弱點嚴重性。
4. 角色與責任
- PSIRT:主導弱點管理流程,包括評估、協調與溝通。
- 產品開發團隊:與 PSIRT 合作調查與修復弱點。
- 品質保證:驗證修復效果。
- 客戶服務:與客戶溝通弱點與可用的緩解措施。
5. 弱點回報
我們歡迎且鼓勵以主動、負責任的方式揭露潛在的漏洞,可透過填寫「弱點回報表」或透過電子郵件發送至 PSIRT@atop.com.tw 提交弱點報告給我們。在報告潛在漏洞時,請盡可能包含以下信息,以幫助我們更好地理解問題的性質及其潛在影響。
- 產品名稱與型號
- 軟體/韌體版本
- 漏洞描述
- 重現步驟(如果可能,請包含螢幕截圖或程式碼)
- 常見弱點列舉 (CWE) ID(如果已知/有資料)
- 常見漏洞和暴露 (CVE) ID(如果已知/有資料)
- CVSS 評分(如果已知/有資料)
- CVSS 向量字串(如果已知/有資料)
- 概念驗證或漏洞程式碼
- 攻擊者如何利用此漏洞
- 攻擊過程的資料包捕獲
- 您覺得有幫助的任何其他信息
6. 弱點管理流程
6.1. 回覆
收到漏洞報告後,ATOP PSIRT 將在兩個個工作天內發出初步確認,並啟動初步評估以確定後續步驟。
6.2. 分類與評估
每個報告的問題都會經過徹底審查,以驗證其合法性並確定其潛在影響、可利用性和範圍。使用通用漏洞評分系統 (CVSS) 評估嚴重程度,並根據內部模型進行補充風險分析。
6.3. 調查
PSIRT 與工程和產品開發團隊密切合作,調查根本原因,確認受影響的產品版本,並評估問題是否會超出最初報告的範圍。
6.4. 修復與緩解
根據嚴重程度,制定適當的補救策略,可能包括但不限於軟體或韌體修補程式、配置調整或臨時緩解措施。在緊急或影響重大的情況下,可能會在全面解決之前發布臨時指導。
6.5. 揭露
在找到解決方案或認為有必要時,將發布產品安全公告。這些公告概述了漏洞的性質、受影響的產品和版本、基於 CVSS 的嚴重性等級以及建議客戶採取的措施以減輕相關風險。
7. 嚴重性分類(依 CVSS)
8. 溝通方式
我們會透過以下管道提供安全建議:
- 嚴重漏洞:透過電子郵件或公告方式向受影響的客戶發送
- 產品文件:產品手冊或韌體發行說明的更新
- 網站更新:ATOP官方支援頁面上的安全公告列表
- 可選:每月向註冊用戶發送電子郵件摘要,列出最近與網路安全相關的產品變化
若要接收這些更新,客戶可以使用經批准的企業電子郵件地址在 ATOP 網站上註冊。
9. 政策審查
該政策將在每年或發生重大變化時進行審查,以確保其有效性和與行業標準的一致性。
10. 免責聲明
本政策及相關程序可能隨時更新,恕不另行通知。對於所有收到的通報,我們不保證皆能處理或公開揭露。使用本文件或其相關建議所載資訊所產生的風險,須由使用者自行承擔。