戴尔漏洞响应策略

简介

戴尔致力于帮助客户减少与产品安全漏洞相关的风险。我们的目标是及时为客户提供处理漏洞所需的信息、指导意见和风险缓解方案。客户向戴尔报告的所有产品漏洞由戴尔产品安全事件响应团队(Dell PSIRT)负责协调相关的响应和披露事项。

戴尔采用严格的工作流程来不断评估和改进漏洞响应办法,并定期将这些指标与业界同行进行比较。戴尔是卓越代码软件保护论坛(SAFECode:http://www.safecode.org)(英文版)、事件响应与安全团队论坛(http://www.first.org)(英文版)等组织的积极参与者,也踊跃投身于国际标准(漏洞披露和处理方面)的制定工作,例如ISO 29147和ISO 30111。

如何报告安全漏洞

如果您在戴尔、Dell EMC或RSA的任何产品中发现安全漏洞,请立即报告。及时识别安全漏洞对于缓解客户的潜在风险至关重要。

企业和商业产品的客户和合作伙伴如在戴尔产品中发现安全问题,请与相应的技术支持团队联系。技术支持团队、产品团队和Dell PSIRT将共同努力解决相关问题,并为客户提供后续行动方案。

安全研究人员、行业团体、供应商和其他无法获得技术支持的用户应通过电子邮件向Dell PSIRT发送漏洞报告(secure@dell.com)。请使用Dell PSIRT的PGP密钥加密此类报告邮件和所有附件(点此下载)。

在报告潜在漏洞时,请尽量提供以下信息,以帮助我们更好地了解所报告问题的性质和范围:

  • 包含漏洞的产品名称和版本
  • 重现问题的环境或系统信息(如产品型号、操作系统版本等)
  • 漏洞的类型和/或等级(XSS、缓冲区溢出、RCE等)
  • 重现漏洞的分步说明
  • 概念验证或开发代码
  • 漏洞的潜在影响

处理漏洞报告


戴尔一直秉承与安全研究人员共建良好合作关系的原则,我们也会在公告中向这些群体致谢(如有需要)。另一方面,戴尔也希望研究人员在公布漏洞之前给我们提供一个修复漏洞的机会。戴尔认为,协调漏洞的披露行为是保护客户利益的关键。

根据本响应策略披露的所有漏洞相关信息均应视为戴尔和报告方之间的私密信息(如果信息尚未公开),直至修复方案到位并在协调一致的前提下进行披露。

漏洞修复

调查并验证所报告的漏洞后,戴尔将为处于有效支持服务期限内的戴尔产品开发并确定修复方案。修复方案可以采取下列一种或多种形式:

  • 戴尔封装的受影响产品的新版本
  • 戴尔提供的可安装在受影响产品上的修补程序
  • 从第三方组件供应商处下载和安装更新或修补程序的说明,以缓解漏洞带来的风险
  • 戴尔发布的纠正程序或变通方案,指示用户调整产品配置以缓解漏洞带来的风险

戴尔将在商业上合理的时间内尽快提供修复或纠正措施。响应时间表取决于多个因素:漏洞的严重性、修复的复杂性、受影响的组件(例如,某些更新需要更长的验证周期,或者只能在主要版本中更新)、产品在其生命周期内的阶段等。

修复信息发布

戴尔将在适合的情况下通过戴尔安全公告向客户传达修复方案。为保护戴尔的客户,一旦戴尔为受影响产品的所有受支持版本提供的修复方案到位,就会发布安全警告。对于在戴尔产品使用的组件中公开披露或众所知周的漏洞,为做出适当的响应,戴尔可能会提前发布安全公告。

安全公告中包含的详细信息足以让客户评估漏洞的影响并修复易受攻击的产品。为减少恶意用户利用此类信息向客户发动攻击的可能性,完整的细节可能不予公开。

戴尔安全公告包含以下信息(如适用):

  • 受影响的产品和版本
  • 漏洞的严重程度(戴尔使用常见的漏洞评分系统CVSS:https://www.first.org/cvss/user-guide)(英文版)
  • 针对漏洞的常见漏洞枚举(CVE:http://cve.mitre.org)(英文版)标识符,以便通过各种漏洞管理功能(如漏洞扫描器、存储库和服务等)共享漏洞的相关信息
  • 漏洞和潜在影响(如被利用)的简要说明
  • 修复方案的详细介绍,包括更新/变通方案的相关信息
  • 向报告漏洞并与戴尔合作发布修复版本(如适用)的发现者致谢
戴尔安全公告可通过以下支持门户访问:

 
严重程度分级

安全漏洞按其严重程度分级,等级取决于多个因素,包括利用漏洞所需的工作量以及对数据或业务活动的潜在影响。戴尔使用常见的漏洞评分系统版本3.0 (CVSS v3.0)来确定已识别漏洞的严重程度。上述系统采用的完整标准由事件响应和安全团队论坛(FIRST)维护,访问路径:https://www.first.org/cvss(英文版)。

在适用的情况下,戴尔安全公告将提供CVSS v3.0基础分数、相应的CVSS v3.0向量以及已识别漏洞的CVSS v3.0严重程度。戴尔建议所有客户同时考虑基础评分以及任何时间和/或与总体风险评估相关的环境评分。
 
其他披露信息

根据戴尔的响应策略,我们将在同一时间向所有客户发布安全公告,而不向个别客户提供预先通知。这样可以确保在制定修复方案时保护所有客户的利益,并为其提供适当的信息来修复相关漏洞。某些漏洞可能需要行业合作伙伴之间的多方协调,才能公开披露。

根据戴尔的响应策略,我们不在安全公告和相关文档(如发行说明、知识库文章、常见问题解答等)以外提供有关漏洞的其他详细信息,也不分发已识别漏洞的开发/概念验证代码。

根据行业惯例和戴尔的响应策略,我们不会将内部安全测试或其他安全活动的研究成果与外部实体共享。

向戴尔通报其他安全问题

如果您需要向戴尔报告其他安全问题,请从下列联系人中进行选择:

安全问题

联系信息

如何报告戴尔联机服务、网络应用程序或属性中的安全漏洞或问题

secure@dell.com发送报告,随附重现相关问题的分步说明。请使用Dell PSIRT的PGP密钥加密此类报告邮件。Dell PSIRT将与相应的团队合作调查和解决相关问题。

如何报告垃圾邮件和钓鱼邮件

联系Missed_SPAM@dell.com

如何向Dell Financial Services团队报告安全问题

请参阅Dell Financial Services安全(英文版)页面。

如何提交与隐私有关的请求或问题

请参阅戴尔隐私 (英文版)页面。


客户的权利:保修、支持和维护

戴尔客户在保修、支持和维护方面(包括任何戴尔软件产品中的漏洞)的权利受戴尔和每个客户之间的适用协议的制约。此网页上的陈述不对任何客户权利条款进行修改或扩大,也不提供任何其他保证。