Verantwortungsvolle Offenlegungspolitik
Digi International Inc. ist bestrebt, sicherzustellen, dass unsere Kunden Vertrauen in die Sicherheit unserer Produkte und Dienstleistungen haben. Wenn Sie eine Sicherheitslücke auf Digi.com oder einem Produkt oder einer Dienstleistung der Marke Digi entdeckt haben, bitten wir Sie, uns diese in Übereinstimmung mit diesem Responsible Disclosure Standard mitzuteilen.
Um unseren Kunden und Forschern einen sicheren Mechanismus zu bieten, arbeiten wir mit Bugcrowd Inc. ("Bugcrowd") zusammen und nutzen deren Plattform für das Vulnerability Disclosure Program. Nach der Validierung einer Meldung behebt Digi die Schwachstellen in Übereinstimmung mit unseren Risikomanagementstandards, um die Vertraulichkeit, Integrität und Verfügbarkeit unserer Infrastruktur und Produkte zu gewährleisten.
Um eine vermutete Sicherheitslücke zu melden, übermitteln Sie bitte detaillierte Informationen mit Hilfe des Formulars am Ende dieser Seite. Bitte lesen Sie den Abschnitt über die Daten des Schwachstellenberichts, um Vorschläge zu erhalten, was Sie als Falldetails angeben sollten.
Sicherheitsdekoration
Im Folgenden werden die von uns erwarteten Verhaltensweisen, Umgangsformen und Grundsätze für Interaktionen im Zusammenhang mit sicherheitsrelevanten Aktivitäten bei der Teilnahme an unserem Programm zur Offenlegung von Sicherheitslücken beschrieben.
- Halten Sie stets die Datenschutzbestimmungen ein und verletzen Sie nicht die Privatsphäre unserer Nutzer, Mitarbeiter, Auftragnehmer, Dienste oder Systeme.
- Sie dürfen z. B. die aus den Systemen oder Diensten abgerufenen Daten nicht weitergeben, weiterverteilen oder nicht ordnungsgemäß sichern.
- Sie dürfen nicht auf Daten, die Ihnen nicht gehören, zugreifen, sie herunterladen oder verändern.
- Veröffentlichen Sie keine identifizierten oder angeblichen Schwachstellen, die in Ihrer Einsendung angesprochen werden, ohne ausdrückliche schriftliche Zustimmung von Digi an die Öffentlichkeit oder an Dritte.
Löschen Sie alle Daten, die Sie im Rahmen Ihrer Nachforschungen erhalten haben, sicher, sobald sie nicht mehr benötigt werden oder innerhalb eines Monats nach Behebung der Schwachstelle, je nachdem, was zuerst eintritt (oder wie es das Datenschutzrecht vorschreibt).
Lebenszyklus der Einreichungskommunikation
Das Sicherheitsteam von Digi ist bestrebt, sich so transparent und schnell wie möglich mit den Forschern abzustimmen. Der Lebenszyklus der Einreichung umfasst Folgendes:
- Der Forscher oder Kunde reicht das Formular gemäß unserem Standard und Programm zur Offenlegung von Schwachstellen ein.
- Jegliche Kommunikation mit Digi über die eingereichte Schwachstelle erfolgt über die E-Mail, die bei der Einreichung auf der Bugcrowd-Plattform zur Offenlegung von Schwachstellen angegeben wurde. (Hinweis: Um mit Digi und dem Sicherheitsteam von Bugcrowd zu kommunizieren, müssen Sie die Meldung über eine von Bugcrowd an Ihre E-Mail gesendete E-Mail-Validierung geltend machen).
- Das für die Koordinierung der Schwachstellen zuständige Sicherheitsteam von Digi bestätigt den Eingang potenzieller Schwachstellen innerhalb von vier Tagen nach der Meldung.
- Das Sicherheitsteam von Digi ist in der Kommunikationskette als Digi_Sec_(Name des Digi-Mitarbeiters) angegeben und wird den Einsender während des gesamten Lebenszyklus der Schwachstelle kontinuierlich auf dem Laufenden halten.
- Bugcrowd und das Sicherheitsteam von Digi werden die Schwachstelle anhand unseres Risikoklassifizierungssystems bewerten.
- Nachdem die Gültigkeit der Schwachstelle festgestellt wurde, wird sie gemäß dem Lifecycle-Management-Prozess des Produktteams bewertet. Die Ergebnisse können Maßnahmen im Rahmen der Patch-Richtlinien von Digi erfordern, die Sie hier finden: https://www.digi.com/resources/security/security-policies
Enthaltene Einreichungsarten
- Schwachstellen in der Geschäftslogik
- OWASP Top 10
- Offenlegung von Informationen
- Datenexposition
- Autorisierungs-/Authentifizierungsprobleme
- Alles, was nicht in der obigen Liste aufgeführt ist und die Vertraulichkeit, Integrität oder Verfügbarkeit von Digi-Systemen, -Dienstleistungen oder Digi-Eigentum beeinträchtigen könnte oder derzeit beeinträchtigt, kann eingereicht werden.
Daten des Schwachstellenberichts
Die folgenden Informationen würden dem Sicherheitsteam von Digi und Bugcrowd helfen, die Schwachstelle zu validieren und einzugrenzen.
- Produkt- oder Dienstname, URL oder betroffene Firmware-Version
- Betriebssystem der beteiligten Komponenten
- Informationen zur Version
- Technische Beschreibung der durchgeführten Maßnahmen und des Ergebnisses, so detailliert wie möglich
- Beispielcode, der zum Testen oder Demonstrieren der Schwachstelle verwendet wurde
- Kontaktinformationen des Reporters
- Andere beteiligte Parteien, falls zutreffend
- Pläne zur Offenlegung
- Bedrohungs-/Risikobewertung Einzelheiten zu den ermittelten Bedrohungen und/oder Risikostufen (P1(kritisch)P2(schwer) P3(mäßig)P4(gering)P5(informell))
- Softwarekonfiguration des Computers oder Gerätekonfiguration zum Zeitpunkt der Entdeckung der Sicherheitslücke
- Relevante Informationen über angeschlossene Komponenten und den Zeitpunkt des Auftretens der Schwachstelle (z. B. eine sekundäre Komponente oder ein Gerät, das die Schwachstelle auslöst)
- Uhrzeit und Datum der Entdeckung
- Browser-Informationen einschließlich Typ und Version, falls zutreffend
System zur Risikoklassifizierung
Für die anfängliche Priorisierung/Einstufung der Ergebnisse wird dieses Programm die Bugcrowd-Taxonomie zur Bewertung von Schwachstellen verwenden. In einigen Fällen wird die Priorität einer Schwachstelle jedoch aufgrund ihrer Wahrscheinlichkeit oder ihrer Auswirkungen geändert. In jedem Fall, in dem eine Schwachstelle herabgestuft wird, erhält der Forscher eine ausführliche, detaillierte Erklärung und die Möglichkeit, Einspruch zu erheben und eine höhere Priorität zu beantragen. Bevor Sie Informationen zur Risikobewertung einreichen, beachten Sie bitte die Schweregradeinteilung, die wir auf der Bugcrowd-Plattform vornehmen:
- P1 Kritisch: Das in der Meldung identifizierte Problem hat die höchste Priorität und sollte den Hauptblockern zugeordnet werden. In der Regel führen Einsendungen mit der Priorität P1, die als schwerwiegender Blocker eingestuft werden, dazu, dass die Anwendung unbrauchbar wird, der Geschäftsbetrieb gestört werden kann und sofortige Aufmerksamkeit erforderlich ist.
- P2 Schwerwiegend: Das in der Vorlage genannte Problem ist nicht kritisch, hat aber erhebliche Auswirkungen auf die Anwendung.
- P3 Mäßig: Die Meldung stellt kein kritisches oder schwerwiegendes Problem dar, deckt aber einen Fehler in der Anwendung auf, der behoben werden muss.
- P4 Niedrig: Diese Meldung hat die niedrigste Priorität und stellt ein geringfügiges Problem dar.
- P5 Informativ: Diese Vorlage kann verdächtige Informationen liefern, aber nicht schlüssig, ob sie ein Risiko darstellt.
Verbotene Handlungen
Die folgenden Handlungen sind nach dieser Norm verboten. Digi International behält sich alle gesetzlichen Rechte vor, wenn Sie eine dieser verbotenen Handlungen vornehmen.
- Denial of Service (DoS) und Distributed Denial of Service (DDoS)
- Wenn eine Schwachstelle entdeckt wird, mit der ein DoS- oder DDoS-Angriff durchgeführt werden kann, übermitteln Sie bitte die entdeckten Informationen, führen Sie den Angriff jedoch nicht durch.
- DoS-Tests gegen Produkte von Digi International, die sich im alleinigen Besitz des Forschers oder Kunden befinden, sind zulässig, wenn sie in einem Netz durchgeführt werden, das einem Forscher oder Kunden gehört und von ihm betrieben wird.
- Spam-Meldungen oder Aufforderung
- Phishing, Vishing, Spear-Phishing-Berichte
- Social-Engineering-Berichte
- Offene Ports ohne begleitende Demonstration oder Nachweis eines Konzepts für die Verwundbarkeit
- Ergebnisse automatischer Tools ohne detaillierte Erklärung, welche Teile anfällig sind und wie die Schwachstelle ausgenutzt werden könnte