Корпорация Dell стремится помочь заказчикам свести к минимуму риски, связанные с уязвимостями систем безопасности в наших продуктах. Наша цель — предоставить заказчикам своевременную информацию, рекомендации и варианты решения проблем, которые позволят устранить такие уязвимости. Группа Dell Product Security Incident Response Team (Dell PSIRT) отвечает за координацию раскрытия и устранения уязвимостей в продуктах Dell.
Dell активно участвует в работе различных сообществ(на английском языке), включая Forum of Incident Response and Response Teams (FIRST)(на английском языке) и Software Assurance Forum for Excellence in Code (SAFECode)(на английском языке). Наши процессы и процедуры соответствуют стандарту FIRST PSIRT Services Framework(на английском языке), а также другим стандартам, включая ISO/IEC 29147:2018(на английском языке) и ISO/IEC 30111:2019(на английском языке).
Dell высоко ценит сотрудничество с нашими отраслевыми партнерами и исследователями в сфере безопасности, а также любой вклад в наши инициативы по обеспечению безопасности и поощряет ответственность и скоординированное раскрытие информации, поскольку безопасность наших заказчиков имеет первостепенное значение для нас. Наша цель — обеспечить доступность решений и/или стратегий устранения уязвимостей Dell к моменту раскрытия информации о них, а также взаимодействие со сторонними производителями, если для устранения проблем требуется их содействие.
В соответствии с данной политикой вся раскрываемая информация о новых уязвимостях считается конфиденциальной, если только эта информация уже не была общедоступной. Она должна быть известна только Dell и стороне, которая передает эту информацию, до тех пор, пока не станет доступно исправление и не будут скоординированы действия по раскрытию информации.
После выявления уязвимости и подтверждения соответствующего сообщения мы пытаемся разработать и оценить соответствующие средства устранения уязвимости для продуктов, активно поддерживаемых Dell. Решение может быть представлено в одном или нескольких из следующих вариантов:
Dell прилагает все усилия, чтобы предложить средство устранения уязвимости или корректирующее действие в кратчайшие, коммерчески оправданные сроки. Сроки подготовки решения зависят от многих факторов, таких как:
Dell использует стандарт Common Vulnerability Scoring System(на английском языке) (CVSS) версии 3.1 для информирования о характеристиках уязвимостей в продуктах Dell. Этот стандарт поддерживается организацией FIRST.
Рейтинг CVSS предусматривает цифровые коды для количественной оценки степени уязвимости и учитывает несколько факторов, включая объем трудозатрат, необходимых для использования уязвимости, а также возможные последствия в случае использования этой уязвимости. Сводная оценка Dell, учитывающая последствия уязвимости, содержащая цифровой рейтинг, векторную строку и качественное представление уровня серьезности (то есть критичный, высокий, средний и низкий), по следующей шкале:
Уровень серьезности | Рейтинг CVSS версии 3.1 |
Критический | 9,0–10 |
Высокий | 7,0–8,9 |
Средний | 4,0–6,9 |
Низкий | 0,1–3,9 |
Обратите внимание, что нередко полученные от Dell оценка уязвимости, рейтинг CVSS и/или векторная строка отличаются от тех, которые предоставляются другими источниками. В случае расхождения в качестве более достоверного источника информации Dell будет использовать свои рекомендации по безопасности.
В целях обмена информацией с заказчиками об уязвимостях системы безопасности, затрагивающих наши продукты, Dell публикует рекомендации по безопасности, уведомления и информационные статьи.
Рекомендации по безопасности содержат рекомендации и инструкции, которые помогут заказчику защищать свои данные, минимизировать и/или устранять уязвимости после анализа и выработки решений Dell.
Рекомендации по безопасности должны предоставлять достаточный объем сведений, чтобы можно было оценить влияние уязвимости, а также исправить потенциально уязвимые продукты. Однако полная информация может не предоставляться, чтобы уменьшить вероятность того, что злоумышленники воспользуются этими сведениями в ущерб нашим заказчикам.
Обычно рекомендации Dell по безопасности включают следующие сведения (если применимо):
В каждом отдельном случае корпорация Dell вправе опубликовать уведомление безопасности, чтобы распространить информацию об общеизвестной уязвимости с официальным указанием, когда (или где) будет доступна дополнительная информация.
Dell может публиковать информационные статьи, связанные с безопасностью, для предоставления сведений по вопросам безопасности, например:
Рекомендации по безопасности и уведомления Dell доступны на странице www.dell.com/support/security(на английском языке). Информационные статьи доступны по этой ссылке после аутентификации.
При обнаружении уязвимости в любом продукте Dell Technologies просим сообщить об этом немедленно. Очень важно как можно быстрее идентифицировать уязвимости системы безопасности и сообщать о них, чтобы устранять потенциальные угрозы для заказчиков. Специалист по безопасности должен отправлять отчеты об уязвимостях продуктов через сайт Dell Bugcrowd(на английском языке). Представители предприятий и пользователи коммерческих продуктов, являющиеся заказчиками и партнерами, должны обращаться в соответствующую службу технической поддержки с сообщениями о нарушениях безопасности, обнаруженных в продуктах Dell. Служба технической поддержки, группа по соответствующему продукту и Dell PSIRT организуют совместную работу по решению проблемы и передаче заказчикам дальнейших инструкций.
Отраслевые группы, производители и другие пользователи, которые не имеют доступа к службе технической поддержки и/или не хотят использовать программу устранения ошибок, могут отправить отчеты об уязвимостях непосредственно в Dell PSIRT по электронной почте. Электронное письмо и вложения должны быть зашифрованы с помощью PGP ключом PGP Dell PSIRT, который можно загрузить здесь. Dell подтвердит ваш отчет о раскрытии информации об уязвимостях, как только это позволят обстоятельства.
Во всех случаях Dell будет стараться подтвердить ваш отчет с информацией об уязвимостях в течение трех (3) рабочих дней с момента получения и предоставлять обновленные сведения об устранении уязвимостей каждые 30 (тридцать) календарных дней или чаще.
В сообщении о потенциальной уязвимости предоставьте максимум информации, описанной ниже. Это поможет нам лучше понять природу и масштаб обнаруженной проблемы.
Если уязвимость предоставляет вам доступ к конфиденциальной или недоступной информации (включая данные сторонних производителей, личные данные или любую информацию, отмеченную Dell как внутренняя, конфиденциальная или строго конфиденциальная), то используйте такой доступ в минимальной степени, насколько это необходимо для сообщения в Dell об уязвимости. Эта информация должна быть только отправлена в Dell, ее нельзя сохранять, передавать, использовать для любых целей, хранить, раскрывать и копировать.
Также нельзя предпринимать никакие действия, которые могут повлиять на целостность или доступность систем Dell, кроме случаев явного разрешения их владельца. Делайте только то, что необходимо для получения признаков уязвимости. Если вы заметили снижение производительности во время исследования либо оно непреднамеренно привело к нарушению или прерыванию работы (например, доступ к данным заказчика или конфигурациям служб), прекратите любое использование автоматизированных инструментов и немедленно сообщите об этом инциденте. В каждом случае, когда у вас возникли проблемы или вы не уверены, согласуются ли ваши исследования безопасности с этой политикой, прежде чем продолжать, обратитесь по адресу secure@dell.com.
Используйте соответствующую контактную информацию, приведенную ниже, для сообщения в Dell о других проблемах безопасности.
Проблема безопасности | Контактная информация |
Сообщите об уязвимости или проблеме на Dell.com либо в веб-службе, веб-приложении или объекте собственности Dell. | На странице https://bugcrowd.com/dell-com(на английском языке) отправьте сообщение с пошаговыми инструкциями по воспроизведению проблемы. |
Если вы подозреваете, что произошла кража персональных данных, либо если вы стали жертвой мошенничества, связанного с Dell Financial Services. | См. раздел Безопасность Dell Financial Services(на английском языке). |
Отправка сообщений и вопросов, связанных с конфиденциальностью. | См. раздел Конфиденциальность Dell(на английском языке). |
Dell стремится к максимальной прозрачности, предоставляя информацию об устранении уязвимостей в рекомендациях по безопасности и сопроводительной документации, которая может включать в себя примечания к выпускам, статьи базы знаний и ответы на часто задаваемые вопросы. Dell не предоставляет проверенные эксплойты и код для проверки для выявленных уязвимостей. Кроме того, в соответствии со стандартной практикой ИТ-отрасли корпорация Dell не предоставляет сторонним лицам результаты тестирования и демонстрации внутренних испытаний безопасности, а также другие виды закрытой информации.
Права заказчиков Dell в отношении гарантий, поддержки и обслуживания, включая уязвимости в любом программном продукте Dell, регулируются исключительно действующим соглашением между Dell и каждым заказчиком. Заявления на этой веб-странице не изменяют, не расширяют и не дополняют иным образом никаких прав заказчика и не создают никаких дополнительных гарантий.
Все аспекты этой политики реагирования на уязвимости могут быть изменены без предварительного уведомления. Реагирование не гарантируется ни для какой конкретной проблемы или класса проблем. Использование вами информации, содержащейся в данном документе или материалах, доступных по ссылкам в документе, осуществляется под вашу ответственность.