1. Politikai célkitűzés

A LuxpowerTek elkötelezett amellett, hogy biztonságos és megbízható termékeket és szolgáltatásokat nyújtson globális ügyfeleinek. Arra ösztönözzük a biztonsági kutatókat, partnereket és ügyfeleket, hogy a potenciális sebezhetőségeket a következő címeken keresztül jelentsék: felelős közzétételi gyakorlatok, lehetővé téve számunkra a kockázatok gyors kezelését és enyhítését.

2. Jelentési folyamat

Sebezhetőségi jelentés benyújtásához kérjük, használja a következő csatornákat:

Email

security@luxpowertek.com (PGP titkosítás ajánlott)

Online űrlap/biztonsági portál

A dedikált biztonsági portál részleteit külön tesszük közzé.

Kérjük, a következő információkat tüntesse fel a jelentésében:

  • Érintett termékmodell és firmware/szoftver verzió
  • A sebezhetőség részletes leírása és a reprodukálás lépései (vagy a koncepció bizonyítása)
  • A lehetséges hatások elemzése
  • Elérhetőségek a további kommunikációhoz

TIPPEK:

A felelős közzététel biztosítása érdekében kérjük, tartózkodjon a sebezhetőség nyilvános közlésétől, amíg hivatalos javítás nem kerül kiadásra.

3. Biztonsági tesztelés hatóköre és megfelelőségi határok

Engedélyezett tesztelési tevékenységek

  • Helyi eszköztesztelés
  • Hálózati kommunikáció elemzése
  • Konfiguráció és jogosultságok ellenőrzése

Tiltott tevékenységek❌

  • Felhasználói adatokhoz való jogosulatlan hozzáférés vagy azok ellopása
  • A sebezhetőségek kihasználása szolgáltatásmegszakítást vagy kárt okoz
  • Nagyméretű szkennelési vagy szolgáltatásmegtagadási támadások, amelyek termelési környezeteket céloznak meg

4. Sebezhetőségi reagálási folyamat és ütemterv

A LuxpowerTek a nemzetközi legjobb gyakorlatokat követi, és szabványosított reagálási folyamatot dolgozott ki a sebezhetőségek kezelésére:

  1. NyugtázásA jelentés kézhezvételétől számított 5 munkanapon belül visszaigazoljuk a kézhezvételt.
  2. Validálás és értékelésBiztonsági csapatunk a CVSS v3.1 szabvány segítségével ellenőrzi a sebezhetőséget és felméri annak kockázati szintjét.
  3. Kármentesítési tervA súlyosságtól függően kidolgozunk egy javítási vagy enyhítési tervet.
  4. KommunikációA folyamat során végig kapcsolatban maradunk a bejelentővel, és szükség esetén további információkat kérünk tőle.
  5. Nyilvános közzététel osureA probléma megoldását követően biztonsági résről szóló figyelmeztetést teszünk közzé biztonsági közleményünkben, a kutató hozzájárulásának tudomásulvételével együtt.

A tipikus megoldási és közzétételi ütemterv a következő: 90–120 nap, a kritikus sebezhetőségeket pedig a gyorsított kezelés érdekében prioritásként kezeljük.

5. Sebezhetőség súlyossági besorolása

A sebezhetőségeket a CVSS v3.1 szabvány alapján a következőképpen osztályozzák:

Alacsony (0,1–3,9)

Minimális hatás, a későbbi iterációkban megoldódik.

Közepes (4,0–6,9)

Korlátozott hatás, a szokásos szoftverfrissítések során orvosolják.

Magas (7,0–8,9)

A nagy hatású sebezhetőségeket prioritásként kezeljük az azonnali megoldás érdekében.

Kritikus (9,0–10,0)

Azonnali javítás sürgős javításkiadással.

6. Közlemény

Összehangolt közzétételi elvek

A LuxpowerTek betartja a következő irányelveket: szív- és érrendszeri betegségek(Koordinált sebezhetőségi közzététel) modell annak biztosítására, hogy a sebezhetőségek ne kerüljenek nyilvánosságra a javítás kiadása előtt.

A kutatókat arra kérik, hogy biztosítsanak egy ésszerű korrekciós időszakot, jellemzően 90 nap, az időben történő megoldás elősegítése érdekében.

Jogi mentesség

Feltéve, hogy a sebezhetőségi tesztelést és a közzétételt ezen szabályzatnak megfelelően végzik, a LuxpowerTek nem indít jogi lépéseket a kutatók ellen, és az ilyen tevékenységeket… jóhiszemű biztonsági kutatás.

Jogi nyilatkozat

Ez a szabályzat frissülhetd az iparági fejlemények és a jogi követelmények tükrözése érdekében. A LuxpowerTek nem vállal garanciát vagy felelősséget a sebezhetőségek feltárásából vagy a hibaelhárítás késedelméből eredő közvetlen vagy közvetett veszteségekért.