Politica di Divulgazione delle Vulnerabilità di X-Sense
X-Sense attribuisce grande importanza alla sicurezza dei propri prodotti e servizi, cercando di sviluppare prodotti sicuri e affidabili, garantendo al contempo la protezione della privacy degli utenti. Allo stesso tempo, i ricercatori di sicurezza giocano un ruolo cruciale nella protezione dei prodotti e dei consumatori di X-Sense. Abbiamo istituito una Politica di Divulgazione delle Vulnerabilità e un processo completo di gestione delle vulnerabilità in conformità con standard come ISO/IEC 30111 e ISO/IEC 29147. Questo garantisce una risposta tempestiva quando vengono scoperte vulnerabilità e migliora la sicurezza del prodotto.
- I. Valutazione della Gravità della Vulnerabilità
- X-Sense utilizza pratiche standard del settore per valutare la gravità delle potenziali vulnerabilità di sicurezza nei suoi prodotti. Ad esempio, ci riferiamo al CVSS (Common Vulnerability Scoring System), che consiste in tre gruppi di metriche: Base, Temporale e Ambientale. Incoraggiamo anche gli utenti a valutare il punteggio ambientale effettivo in base alle proprie condizioni di rete e ad utilizzarlo come punteggio finale della vulnerabilità in ambienti specifici per supportare le decisioni relative all'implementazione delle misure di mitigazione delle vulnerabilità.
Diverse industrie seguono standard diversi. X-Sense utilizza il Security Severity Rating (SSR) come metodo più semplice per classificare le vulnerabilità. Con SSR, categorizziamo le vulnerabilità come Critiche, Alte, Medie, Basse o Informative in base al punteggio complessivo di gravità.
- II. Linee guida per la segnalazione delle vulnerabilità
- Se scopri una vulnerabilità di sicurezza nel sistema X-Sense, inclusi ma non limitati ai dispositivi X-Sense, all'app mobile X-Sense, ai servizi, al cloud o alla sicurezza dei dati, ti preghiamo di segnalarcelo prontamente.
Per favore, includi i seguenti dettagli nel tuo rapporto:
Modello e versione della vulnerabilità osservata, informazioni sul software, IP o pagina.
Una breve descrizione del tipo di vulnerabilità, ad esempio: "Questa è una vulnerabilità che potrebbe causare il crash dell'app."
Passaggi per riprodurre il problema. Questi passaggi dovrebbero essere benigni, non distruttivi e servire come prova di concetto. Questo aiuta a garantire che il rapporto possa essere trattato rapidamente e con precisione.
In alternativa, puoi inviare il rapporto via email a support@x-sense.com.
- III. Tempi di risposta
- 1. Il team di sicurezza di X-Sense riceverà il rapporto sulle vulnerabilità e inizierà a valutare il problema entro un giorno lavorativo.
2. Le vulnerabilità critiche saranno seguite entro 24 ore, con una conclusione preliminare e una valutazione fornite.
3. Le vulnerabilità ad alto rischio saranno seguite entro tre giorni lavorativi, con una conclusione preliminare e una valutazione fornite.
4. Tutte le altre vulnerabilità saranno seguite e valutate entro sette giorni lavorativi. Se il segnalatore ritiene che la situazione sia urgente, può inviare un'email a support@x-sense.com. Dopo la conferma da parte di un revisore, il caso sarà accelerato.
- IV. Dichiarazione di Divulgazione delle Vulnerabilità
- La gestione delle vulnerabilità viene effettuata durante tutto il ciclo di vita della versione del prodotto/software, e X-Sense gestirà le vulnerabilità per tutti i prodotti fino alla data di Fine Servizio (EOS).
Per proteggere i nostri utenti, X-Sense non divulgherà, discuterà o confermerà alcun problema di sicurezza fino al completamento di un'indagine completa e al rilascio di un aggiornamento. Chiediamo gentilmente ai segnalatori di mantenere riservate le vulnerabilità e di non condividerle o divulgarle a terzi fino a quando X-Sense non fornirà una soluzione di patch pertinente.
Per supportare meglio i clienti nella distribuzione delle patch e nella valutazione dei rischi, X-Sense sincronizzerà lo stato della correzione delle vulnerabilità con gli aggiornamenti software. Raccomandiamo di aggiornare alla versione più recente del prodotto/software o di installare l'ultima patch secondo i prompt di aggiornamento per ridurre i rischi legati alle vulnerabilità.