(A) 简介
台达为致力于完善的产品网络安全漏洞通报程序,并提供客户可信赖的产品网络安全漏洞指引与解决(缓解)方案,将产品网络安全漏洞风险降至最低。为此台达建立产品网络安全漏洞通报小组,负责处理通报至台达的产品网络安全漏洞相关事宜。
台达产品网络安全漏洞通报小组(Delta PSIRT)将持续参照国际与业界广为接受与认可的相关作法、法规与标准,不断强化产品网络安全漏洞处理程序与措施。同时,藉由此政策确保台达同仁拥有一致和明确的漏洞通报处理方法,并了解如何应对此类事件。
(B) 适用范围
产品网络安全漏洞管理政策适用于台达所有产品相关部门及产品相关网络安全漏洞通报事件。至于非标准产品或客制化产品,则依照协议(合约)内容进行处理。
(C) 如何通报网络安全漏洞
如果您发现我们的产品有潜在的网络安全漏洞,请透过 产品网络安全漏洞通报网站提交产品网络安全漏洞报告。您的通报我们将进行确认,如果需要,将安排人员与您联系。若提交的漏洞通报信息不完整、错误、重复或虚假,PSIRT将无法受理。
在通报潜在漏洞时,请尽可能包含以下信息,以协助我们更明确了解通报问题的本质与影响范围:
● 产品类型
● 产品名称
● 软件/韧体版本
● 漏洞描述
● 重现步骤
● 通用缺陷列表(CWE) ID
● 公共漏洞和暴露(CVE) ID
● CVSS Score
● CVSS Vector String
(D) 产品网络安全漏洞管理程序
Delta的产品网络安全漏洞管理程序包括五个阶段,如下所列:
● 确认通报接收:Delta PSIRT 收到外部针对台达产品的漏洞通报后,通常会在2个工作天内对通报者作初步响应。
● 分类与评估:Delta PSIRT 对潜在的网络安全漏洞进行分类与分析,以初步评估该漏洞对台达产品的影响程度。
● 调查:Delta PSIRT 将与产品开发部门共同协作,以确认漏洞的根因 (Root Cause) 并进一步评估对台达产品的影响程度。
● 缓解:Delta PSIRT 将与产品开发部门共同协作,开发软/韧体修补程序或缓解措施。
● 揭露:Delta PSIRT 将在台达网站的产品网络安全公告(Product Cybersecurity Advisory)发布产品网络安全漏洞的结果。
(E) 漏洞严重性和影响评分
Delta PSIRT与产品开发团队透过通用漏洞评分系统(Common Vulnerability Scoring System, CVSS)来评估漏洞问题的潜在风险。
CVSS是一种定性量化严重性的方法,并将诸多因素纳入考虑,包括利用漏洞所需投入的心力以及漏洞遭恶意探测时可能造成的影响。
在分析漏洞问题后,台达将根据评分分数、向量字符串和严重性定性等级(即严重、高、中、低之一)来汇总漏洞的评估影响,具体等级如下:
| 严重性 |
CVSS 3.X 评分 |
| 严重 |
9.0 – 10 |
| 高 |
7.0 – 8.9 |
| 中 |
4.0 – 6.9 |
| 低 |
0 – 3.9 |
(F) 免责声明
此产品网络安全政策如有任何变更,恕不另行通知。我们不保证对任何特定问题或问题类别做出回应。若使用本文件中的信息或本文件中链接的内容,风险需由您自行承担。