Sme pripravení spolupracovať v dobrej viere s individuálnymi výskumnými pracovníkmi, tímami ICS-CERT, agentúrami zaoberajúcimi sa zhromažďovaním informácií o bezpečnosti, zákazníkmi a personálom v teréne, ktorí môžu objaviť v našich produktoch nedostatky a podať o tom správu. O nedostatkoch je možné podať správu na našej stránke Nahlásiť problém.
Spoločnosť Eaton nepodnikne právne kroky voči jednotlivcom, ktorí:
Pri prijímaní a potvrdzovaní príjmu informácií o nedostatkoch, vykonávaní predbežnej analýzy a priraďovaní počiatočného hodnotenia nahlásených nedostatkov postupujeme podľa interného postupu posudzovania rizika. V prípade akéhokoľvek externe hláseného nedostatku v softvérových knižniciach tretích strán priradíme hodnotenie rizika pomocou metódy bodovania nedostatku CVSS v3, ktorá sa týka dotknutého produktu spoločnosti Eaton a kontextu jeho použitia. Každý nedostatok, ktorého celkové skóre CVSS je 7,0 a vyššie, alebo ktorý centrum CCoE považuje za vysoké bezpečnostné riziko, bude riešený prioritne.
Zistené nedostatky aktuálne podporovaných produktov opraví spoločnosť Eaton. Tím centra CCoE spolupracuje s produktovým tímom na odstránení nedostatku podľa pridelenej priority. Odhadne sa približný harmonogram riešenia problému, ktorý sa oznámi ohlasovateľom nedostatku (t. j. individuálnym výskumníkom, tímom ICS-CERT alebo iným agentúram). Tím centra CCoE počas tejto fázy funguje pre externé subjekty ako jediný kontaktný bod a spolupracuje s internými tímami na odstránení a otestovaní nedostatku. Počas práce na vyriešení problému sa môže komunikovať s oznamujúcou stranou.
Spoločnosť Eaton zverejní riešenia/opravy nedostatkov prostredníctvom štandardného distribučného kanála príslušných produktov. Podrobné technické informácie týkajúce sa opráv sú zverejnené ako bezpečnostné upozornenie na produkt spoločnosti Eaton.
Spoločnosť Eaton uprednostňuje spoluprácu s posudzovateľmi nedostatkov pri koordinovanom zverejňovaní informácií a očakáva, že posudzovatelia nedostatkov upustia od zverejňovania podrobností o nedostatkoch skôr, ako uplynie vzájomne dohodnutý časový rámec.
Informácie týkajúce sa nedostatkov budú zverejnené na našej stránke s upozorneniami o kybernetickej bezpečnosti. Táto stránka je centrálnym úložiskom bezpečnostných pokynov k produktom spoločnosti Eaton týkajúcich sa všetkých elektrických produktov spoločnosti Eaton. Zákazníkom sa odporúča sledovať tento portál a na ňom uverejňované najnovšie bezpečnostné pokyny.
Po nájdení praktického riešenia alebo opravy vydáme bezpečnostné pokyny týkajúce sa overených nedostatkov. Môžu sa vyskytnúť prípady, keď bude vydaný pokyn v prípade, že nebude k dispozícii riešenie. Každý nedostatok je iný a preto môžeme v súvislosti s vydávaním bezpečnostných pokynov podniknúť aj alternatívne kroky.
Spoločnosť Eaton nezaručuje, že vydá bezpečnostné pokyny pre niektoré alebo všetky bezpečnostné problémy, ktoré môžu zákazníci považovať za významné, alebo že ich vydá v akomkoľvek stanovenom časovom horizonte.
Poznámka: Spoločnosť Eaton si vyhradzuje právo kedykoľvek podľa vlastného uváženia upraviť tieto zásady.
Spoločnosť Eaton vytvorila Sieň uznania, v ktorej náležite oceňuje príspevky posudzovateľov zabezpečenia, ktorí hlásia nedostatky v oblasti kybernetickej bezpečnosti produktov v súlade s týmito zásadami:
| Prispievateľ | Organizácia | Oznámenie |
| Natnael Samson | Trend Micro's ZDI | |
| Ravjot Singh Samra | CVE-2020-6650 | |
| Sivathmican Sivakumaran | Trend Micro’s ZDI |
| Prispievateľ | Organizácia | Oznámenie |
| Emre Övünç | CVE-2018-12031 | |
| Tod Beardsly | Rapid 7 | CVE-2019-5625 |
| Prispievateľ | Organizácia | Oznámenie |
| Ariele Caltabiano (kimiya) | Trend Micro’s ZDI | CVE-2018-7511 |
| Ghirmay Desta | Trend Micro’s ZDI | CVE-2018-8847 |
Zobraziť aktuálne oznámenia a zaregistrovať sa na prijímanie upozornení o nedostatkoch
Odoslať e-mail
