X-Sense-Schwachstellen-Offenlegungspolitik
X-Sense-Schwachstellen-Offenlegungspolitik
X-Sense legt großen Wert auf die Sicherheit seiner Produkte und Dienstleistungen und ist bestrebt, sichere und zuverlässige Produkte zu entwickeln und gleichzeitig den Schutz der Privatsphäre der Nutzer zu gewährleisten. Gleichzeitig spielen Sicherheitsforscher eine entscheidende Rolle beim Schutz der X-Sense-Produkte und Verbraucher. Wir haben eine Richtlinie zur Offenlegung von Schwachstellen sowie einen umfassenden Schwachstellenmanagement-Prozess gemäß den Normen ISO/IEC 30111 und ISO/IEC 29147 eingeführt. Dies gewährleistet eine schnelle Reaktion bei der Entdeckung von Schwachstellen und verbessert die Produktsicherheit.
- I. Bewertung der Schwachstellen-Schwere
- X-Sense verwendet branchenübliche Verfahren, um die Schwere potenzieller Sicherheitslücken in seinen Produkten zu bewerten. Beispielsweise beziehen wir uns auf das CVSS (Common Vulnerability Scoring System), das aus drei Metrikgruppen besteht: Basis, Zeitlich und Umwelt. Wir ermutigen die Benutzer auch, basierend auf ihren eigenen Netzwerkbedingungen die tatsächliche Umweltbewertung vorzunehmen und diese als endgültigen Schwachstellenwert in spezifischen Umgebungen zu verwenden, um Entscheidungen zur Schwachstellenminderung zu unterstützen.
Verschiedene Branchen verwenden unterschiedliche Standards. X-Sense verwendet die Sicherheits-Schwere-Bewertung (SSR) als einfachere Methode zur Klassifizierung von Schwachstellen. Mit SSR kategorisieren wir Schwachstellen als Kritisch, Hoch, Mittel, Niedrig oder Informativ basierend auf dem Gesamtschwerewert.
- II. Richtlinien für das Melden von Schwachstellen
- Wenn Sie eine Sicherheitslücke im X-Sense-System entdecken, einschließlich, aber nicht beschränkt auf X-Sense-Geräte, die X-Sense-Mobile-App, Dienste, Cloud oder Datensicherheit, melden Sie diese bitte umgehend bei uns.
Bitte fügen Sie Ihrem Bericht die folgenden Details hinzu:
Modell und Version der beobachteten Schwachstelle, Softwareinformationen, IP oder Seite.
Eine kurze Beschreibung des Schwachstellentyps, zum Beispiel: "Dies ist eine Schwachstelle, die die App zum Absturz bringen könnte."
Schritte zur Reproduktion des Problems. Diese Schritte sollten harmlos, nicht destruktiv und als Machbarkeitsnachweis gedacht sein. Dies trägt dazu bei, dass der Bericht schnell und genau bearbeitet werden kann.
Alternativ können Sie den Bericht per E-Mail an support@x-sense.com senden.
- III. Reaktionszeit
- 1. Das X-Sense-Sicherheitsteam wird den Schwachstellenbericht innerhalb eines Arbeitstages erhalten und mit der Bewertung des Problems beginnen.
2. Kritische Schwachstellen werden innerhalb von 24 Stunden verfolgt, und eine vorläufige Einschätzung sowie Bewertung werden bereitgestellt.
3. Hochriskante Schwachstellen werden innerhalb von drei Arbeitstagen verfolgt, und eine vorläufige Einschätzung sowie Bewertung werden bereitgestellt.
4. Alle anderen Schwachstellen werden innerhalb von sieben Arbeitstagen verfolgt und bewertet. Wenn der Melder die Situation für dringend hält, kann er eine E-Mail an support@x-sense.com senden. Nach Bestätigung durch einen Prüfer wird der Fall beschleunigt bearbeitet.
- IV. Erklärung zur Offenlegung von Schwachstellen
- Das Schwachstellenmanagement wird während des gesamten Lebenszyklus der Produkt-/Softwareversion durchgeführt, und X-Sense wird Schwachstellen für alle Produkte bis zum End of Service (EOS) verwalten.
Um unsere Nutzer zu schützen, wird X-Sense keine Sicherheitsprobleme offenlegen, diskutieren oder bestätigen, bis eine vollständige Untersuchung abgeschlossen und ein Update veröffentlicht wurde. Wir bitten die Melder, Schwachstellen vertraulich zu behandeln und ungelöste Schwachstellen nicht an Dritte weiterzugeben oder offenzulegen, bis X-Sense eine entsprechende Patch-Lösung bereitstellt.
Um Kunden bei der Patch-Bereitstellung und Risikobewertung besser zu unterstützen, wird X-Sense den Status der Schwachstellenbehebung mit Software-Updates synchronisieren. Wir empfehlen, auf die neueste Produkt-/Softwareversion zu aktualisieren oder den neuesten Patch gemäß den Update-Aufforderungen zu installieren, um Schwachstellenrisiken zu minimieren.
