Компанія Dell бере активну участь у різноманітних заходах спільноти (Англійською), у тому числі Форумі груп реагування на інциденти (FIRST) (Англійською) та Форумі гарантування досконалості коду програмного забезпечення (SAFECode) (Англійською) Наші процеси та процедури узгоджуються зі структурою служб FIRST PSIRT (Англійською) а також іншими стандартами, включно з ISO/IEC 29147:2018 (Англійською) та ISO/IEC 30111:2019 (Англійською).
Компанія Dell цінує галузевих партнерів та дослідників у сфері безпеки, поважає всіх, хто робить внесок у наші ініціативи з безпеки, і заохочує відповідальне та скоординоване розкриття інформації, оскільки безпека наших замовників відіграє для нас вирішальну роль. Наша мета полягає в тому, щоб забезпечити доступність стратегій виправлення та пом’якшення наслідків на момент розкриття вразливостей продуктів Dell, а також працювати зі сторонніми постачальниками, коли такої співпраці вимагає виправлення.
Відповідно до цієї політики, уся розкрита інформація про нові вразливості вважається конфіденційною та повинна передаватися виключно між Dell і стороною, що повідомляє про таку вразливість, якщо ця інформація ще не відома громадськості, поки не буде доступний засіб виправлення, а дії з розкриття інформації не буде скоординовано.
Після дослідження та перевірки повідомленої вразливості ми намагаємося розробити та кваліфікувати відповідне виправлення для продуктів за активної підтримки Dell. Виправлення може мати одну або кілька з наведених далі форм:
Компанія Dell докладає всіх зусиль, щоб забезпечити дію з виправлення або коригування в найкоротші комерційно обґрунтовані терміни. Терміни реагування залежать від багатьох факторів, як-от:
Dell використовує стандарт Системи оцінки поширених вразливостей (Англійською) версії 3.1 (CVSS v3.1) для передачі характеристик вразливостей у продуктах Dell. Цей стандарт підтримується FIRST.
Оцінка CVSS забезпечує чисельний засіб для кількісної оцінки серйозності вразливості та враховує кілька факторів, включно з рівнем зусиль, необхідних для усунення вразливості, а також потенційний вплив у разі експлуатації. Dell підсумує оціночний вплив вразливості за допомогою числової оцінки, векторного рядка та якісного рівня серйозності (критична, висока, середня, низька), відповідно до шкали, наведеної нижче.
Серйозність | Оцінка CvSS версія 3.1 |
Критична | 9,0–10 |
Висока | 7,0–8,9 |
Середня | 4,0–6,9 |
Низька | 0,1–3,9 |
Dell рекомендує всім замовникам використовувати цю інформацію для розрахунку екологічних показників, які можуть стосуватися їх навколишнього середовища, для точної оцінки ризиків, пов’язаних із їх ресурсами, або застосуванням продуктів Dell.
Зверніть увагу, що часто трапляються випадки, коли оцінка вразливості Dell, оцінки CVSS та/або векторного рядка відрізняються від тих, що надаються іншими джерелами. У разі невідповідності компанія Dell буде використовувати інформацію, що міститься в рекомендаціях із безпеки Dell, як у авторитетному джерелі інформації.
Компанія Dell публікує рекомендації з безпеки, примітки та інформаційні статті, щоб повідомляти замовникам про вразливості безпеки, які впливають на наші продукти.
Рекомендації з безпеки випускаються для надання вказівок або інструкцій щодо того, як замовники можуть захистити себе, пом’якшити наслідки або усунути вразливості після того, як компанія Dell проаналізує та визначить необхідні рішення.
Рекомендації з безпеки призначені для надання достатньої кількості інформації й оцінки впливу вразливостей та усунення потенційно уражених продуктів. Однак доступ до повної інформації може бути обмежено з метою зменшення ймовірності того, що зловмисники зможуть скористатися наданою інформацією, щоб нашкодити нашим замовникам.
Рекомендації з безпеки Dell, зазвичай, містять наведену далі інформацію, залежно від обставин:
У кожному конкретному випадку компанія Dell може публікувати примітки щодо безпеки, щоб викласти інформацію про вразливість у загальний доступ і надати заяву або інші вказівки щодо того, коли (або де) буде доступна додаткова інформація.
Компанія Dell може публікувати інформаційні статті, пов’язані з безпекою, для обміну інформацією про відповідні теми, як-от:
Рекомендації та примітки щодо безпеки доступні за адресою www.dell.com/support/security(Англійською) Інформаційні статті доступні за цим посиланням після автентифікації.
Якщо ви виявите вразливість безпеки в будь-якому продукті Dell, просимо повідомити про це якомога швидше. Своєчасне виявлення вразливостей безпеки та повідомлення про них має вирішальне значення для зменшення потенційних ризиків для наших замовників. Особи, які займаються дослідженнями питань безпеки, мають надсилати звіти про вразливість продукту через веб-сайт Dell Bugcrowd. Корпоративні, комерційні замовники та партнери по продуктах мають зв’язатися з відповідними спеціалістами з технічної підтримки та повідомити про будь-які проблеми безпеки, виявлені в продуктах Dell. Спеціалісти з технічної підтримки, відповідна команда продуктів та Dell PSIRT працюватимуть разом, щоб вирішити проблему, про яку повідомляється, і проінформувати замовників про подальші кроки.
Галузеві спеціалісти, постачальники та інші користувачі, які не мають доступу до технічної підтримки або не хочуть проходити через програму винагород за виправлення помилок, можуть надсилати звіти про вразливості безпосередньо до Dell PSIRT електронною поштою (Англійською) У разі передавання конфіденційної інформації повідомлення електронної пошти та вкладення необхідно шифрувати за допомогою PGP та ключа Dell PSIRT PGP, доступного для завантаження тут Компанія Dell ознайомиться з вашим звітом про розкриття вразливостей, щойно дозволять обставини.
У будь-якому разі Dell намагатиметься підтвердити ваш звіт про розкриття вразливостей протягом трьох (3) робочих днів після його отримання та надавати оновлену інформацію про усунення з періодичністю тридцять (30) календарних днів або менше.
Повідомляючи про потенційну вразливість, додавайте якомога більше наведеної нижче інформації, щоб допомогти нам краще зрозуміти природу та обсяг повідомленої проблеми:
Якщо вразливість надає вам доступ до конфіденційної або непублічної інформації (включно з даними третіх сторін, особистими даними або будь-якою інформацією, позначеною Dell як призначеної для внутрішнього використання, обмеженої або суворо обмеженої), ви маєте отримувати доступ до такої інформації лише якщо вона мінімально необхідна для повідомлення Dell про вразливість. Будь-яку подібну інформацію можна використовувати лише для надсилання компанії Dell. Її не можна зберігати, передавати, використовувати, розголошувати або копіювати.
Крім того, ви не маєте вчиняти жодних дій, які впливають на цілісність або доступність систем Dell, якщо у вас немає явного дозволу власника. Ви маєте виконувати лише необхідний мінімум для отримання підтвердження. Якщо під час дослідження ви спостерігали погіршення продуктивності або ненавмисно спричинили порушення чи переривання роботи (наприклад, у разі отримання доступу до даних замовників або конфігурацій служб), припиніть використання автоматизованих інструментів і негайно повідомте про інцидент. Якщо в будь-який час у вас виникнуть сумніви або ви не впевнені, що ваше дослідження системи безпеки відповідає цій політиці, зверніться на адресу secure@dell.com, перш ніж рухатися далі.
Повідомте Dell про інші типи проблем безпеки, скориставшись відповідними контактними даними нижче.
Проблема безпеки | Контактна інформація |
Щоб повідомити про вразливість системи безпеки, проблему на сайті Dell.com або в іншій онлайн-службі, веб-застосунку або власності. | Надішліть звіт на адресу https://bugcrowd.com/dell-com (Англійською)з покроковою інструкцією для відтворення проблеми. |
Якщо ви підозрюєте крадіжку особистих даних або зіткнулися з шахрайством, пов’язаним із Dell Financial Services. | Перейдіть на сторінку Dell Financial Services Security (Англійською). |
Щоб надіслати запити або запитання, пов’язані з конфіденційністю. | Дивіться розділ Конфіденційна інформація Dell (Англійською) |
Компанія Dell прагне бути максимально прозорою, надаючи інформацію про дії з усунення вразливостей у наших рекомендаціях із безпеки та пов’язаній документації, яка може включати примітки до випуску, статті бази знань і поширені запитання. Компанія Dell не надає перевірені експлойти або підтвердження коду для виявлених вразливостей. Крім того, відповідно до галузевих практик, компанія Dell не ділиться результатами тестування, підтвердженнями щодо внутрішньої безпеки або іншими видами привілейованої інформації із зовнішніми суб’єктами.
Права замовників Dell на гарантії, підтримку та технічне обслуговування, включно з вразливостями будь-якого програмного продукту Dell, регулюються виключно відповідною угодою між Dell та окремим замовником. Положення, викладені на цій веб-сторінці не модифікують, не збільшують і не змінюють іншим чином будь-які права замовників і не створюють жодних додаткових гарантій.
Усі аспекти цієї Політики реагування на вразливості можуть бути змінені без попередження. Відповідь щодо будь-якого конкретного питання або класу питань не гарантується. Ви використовуєте інформацію, надану в цьому документі або матеріалах, на власний ризик.
Клієнти можуть отримувати доступ до специфікацій програмного забезпечення (SBOM) підтримуваних продуктів Dell через захищений портал підтримки Dell – з урахуванням вимог конфіденційності.