西门子信息安全漏洞处理与披露流程
前言
西门子致力于帮助确保客户设施的安全,通过一种整体综合方法来为其产品、解决方案和 IT 基础设施提供安全保障。西门子制定了一个用于处理其产品线和 IT 基础设施中的已报告安全漏洞的流程。
西门子已准备好与通过“联系信息”一节中所述的方法提交漏洞报告的人进行合作。西门子开诚布公地接受当前所列西门子产品、解决方案和西门子 IT 基础设施的报告,并对报告西门子产品、解决方案、服务或基础设施中的安全问题的人表示衷心感谢。西门子不会针对具有以下行为的人提起法律诉讼:
- 参与系统测试/研究而未伤害任何人。
- 在不影响客户的情况下对产品进行测试,或者在对其设备/软件等执行漏洞测试之前获得客户的许可/同意。
- 遵守适用的法律并符合所有适用的软件许可要求。
- 执行协调统一的披露,即,避免在相互达成一致的时间框架结束之前向公众披露漏洞详情。
- 避免影响到任何人的安全或隐私。对于医疗产品,应特别避免影响患者的安全或隐私。
1. 报告
要报告一个影响西门子产品、解决方案或基础设施设备的信息安全漏洞,请用“联系信息”一节中所述的方式联系西门子。西门子通常会在一个工作日内响应提交的报告(参考:德国慕尼黑)。
请报告以下内容:
- 漏洞描述,包括概念验证漏洞验证代码或网络追踪(如果有)
- 受影响的产品、解决方案或基础设施设备,包括型号和固件版本(如果有)
- 漏洞的公开(该漏洞是否已公开披露?)
每个人都可以报告发现的漏洞,而不管服务合同或产品生命周期状态如何。西门子接受来自研究人员、工业团体、CERT、合作伙伴和任何其它来源的漏洞报告,因为西门子接收这种报告不以签订保密协议为先决条件。西门子尊重报告方的利益(如果报告人要求,也接受匿名报告),并同意处理有理由认为与西门子产品、解决方案或基础设施设备相关的漏洞。西门子强烈建议报告方执行协调统一的披露,因为立即公布于众会造成“0-day”状况,使西门子客户的系统处于不必要的风险之下。这些系统包含遍布全球的关键基础设施的重要部分。
2. 分析
西门子将会调查并重现漏洞,如果需要,会要求报告者提供更多信息。
3. 处理
西门子与负责的开发组合作进行内部漏洞处理。与西门子 ProductCERT 有着合作伙伴关系的国家和政府 CERT 可能会事先获得有关安全问题的通知。在此期间,西门子与报告方之间保持定期沟通,以了解当前状态并确保报告方了解供应商的立场。如有必要,可以向报告方提供软件修复程序的预发布版以供验证。
4. 披露
在成功分析出问题所在之后,如果需要使用修复程序来处理该漏洞,那么将会开发相应修复程序并进行分发。西门子将使用现有的客户通知流程来管理补丁程序的发布,可能包括直接客户通知或公开发布包含有关西门子 CERT 服务网站的所有必要信息的安全公告(请见“联系信息”一节)。
西门子信息安全公告通常包含以下信息:
- 带有 CVE 参考和 CVSS 评分的漏洞描述
- 已知受影响产品和软件/硬件版本的标识
- 有关缓解因素和解决方法的信息
- 可用修复程序的位置
- 在经报告方同意后,对报告和合作的致谢
版本历史
V1.0 (2012-06-08): 发布
V1.1 (2013-06-21): 调整了联系信息
V1.2 (2013-11-05): 更新了 PGP 密钥和指纹
V1.3 (2014-05-07): 更新了 SMIME 密钥和指纹
V1.4 (2014-11-14): 修复了印刷排字错误
V1.5 (2015-03-11): 更新了 SMIME 密钥和指纹
V1.6 (2015-10-14): 更新了 PGP 密钥和指纹
V1.7 (2016-02-22): 移除了 SMIME 密钥和指纹
V2.0 (2017-10-17): 更新了 PGP 密钥和指纹;完善了流程的各个部分和延期披露政策以包括进有关法律状态的信息