跳转至主要内容
联系我们

戴尔漏洞响应策略

简介

戴尔致力于帮助客户更大限度地降低与戴尔产品中的安全漏洞相关的风险。我们的目标是及时为客户提供处理漏洞所需的信息、指导意见和缓解方案。戴尔产品安全事件响应团队(戴尔 PSIRT)负责协调戴尔产品漏洞的响应和披露事宜,并建议所有客户在支持结束日期之前过渡到受支持的戴尔产品版本,以便继续接收安全更新。

戴尔积极参与各种社区工作,包括事件响应和响应团队论坛 (FIRST)(英文版) 和卓越代码软件保障论坛 (SAFECode)(英文版)。我们的流程和程序与 FIRST PSIRT 服务框架(英文版)以及其他标准(包括 ISO/IEC 29147:2018(英文版) 和 ISO/IEC 30111:2019(英文版))保持一致。

处理漏洞报告

鉴于保证客户安全至关重要,戴尔重视行业合作伙伴和安全研究人员,感谢他们为我们的安全计划做出的所有贡献,并鼓励负责任的协同披露。我们的目标是,确保在披露特定于戴尔的漏洞时提供修正方案和/或缓解策略,并在需要合作进行修正时与第三方供应商合作。

根据本政策,有关新漏洞的所有披露信息均被视为机密信息,并且在信息尚未公开之时,只能在戴尔与报告方之间共享信息,直到获得修正方案并协调披露活动为止。

漏洞修正

调查并验证所报告的漏洞后,我们会竭力为处于有效支持服务期限内的戴尔产品制定并确定相应修正方案。修正方案可以采取下列一种或多种形式:

  • 戴尔提供的受影响产品的新版本;
  • 戴尔提供的可安装在受影响产品上的修补程序;
  • 从第三方供应商处下载和安装更新或修补程序的说明,以缓解漏洞带来的风险;
  • 戴尔发布的纠正程序或变通方案,指示用户采取可以缓解漏洞的措施。

戴尔尽一切努力在尽可能短的商业合理时间内提供补偿措施或纠正行动。响应时间表取决于许多因素,例如:

  • 漏洞的严重性;
  • 漏洞的复杂性;
  • 受影响的范围;
  • 修正的工作量/影响;
  • 产品生命周期。

戴尔如何评价漏洞的严重性和影响

戴尔使用通用漏洞评分系统(英文版)标准版本 3.1 (CVSS v3.1) 来传达戴尔产品中漏洞的特征。该标准由 FIRST 维护。

CVSS 评分提供了一种数字方法来量化漏洞的严重性,并会考虑多种因素,包括利用漏洞所需的工作量以及漏洞被利用时的潜在影响。戴尔将根据下面提供的指标,通过数字分数、矢量字符串和严重性定性表示(即严重、高、中、低)来总结漏洞的评估影响:

严重性

CVSS v3.1 分数

至关重要

9.0 – 10

7.0 – 8.9

4.0 – 6.9

0.1 – 3.9

戴尔建议所有客户使用此信息来支持计算可能与其环境相关的环境指标,以准确评估特定于其资产或戴尔产品实施的风险。

请注意,戴尔漏洞评估、CVSS 分数和/或矢量字符串与其他来源提供的字符串不同的情况并不少见。如果出现差异,戴尔将使用戴尔安全公告中包含的信息作为权威信息来源。

外部通信

戴尔发布安全公告、通知和信息文章,与客户就影响我们产品的安全漏洞进行沟通。

发布安全公告,以便在戴尔分析和确定解决方案后,提供有关客户如何保护自己、缓解和/或修正漏洞的指导或说明。

安全公告中包含的详细信息足以评估漏洞的影响并修正可能受影响的产品。但是,为降低恶意行为者利用提供的信息向客户发动攻击的可能性,完整的细节可能不予公开。

戴尔安全公告一般包含以下信息(如适用):

  • 总体影响,它是指严重程度(即,严重、高、中、低)的文本表示,使用 CVSS 严重程度评定指标对所有已识别的漏洞进行最高 CVSS 基础评分;
  • 受影响的产品和版本;
  • 所有已识别的漏洞的 CVSS 基础评分和向量;
  • 所有已确定漏洞的通用漏洞披露(英文版) (CVE) 标识符,以便跨各种漏洞管理功能(例如,漏洞扫描仪、存储库和服务等工具)共享每个独特漏洞的信息;
  • 对漏洞的简要说明和一旦被利用的潜在影响;
  • 修正措施的详细介绍,包括更新/变通方案的相关信息;
  • 漏洞类别信息:
    • 专有代码 — 戴尔开发的硬件、软件或固件。
    • 第三方组件 — 通过打包到戴尔产品或以其他方式集成到戴尔产品而免费分发的硬件、软件或固件;
  • 其他参考(如适用)。

戴尔可以根据个案情况发布安全通知,以确认公开的已知安全漏洞,并就何时(或何地)提供其他信息提供声明或其他指导。

戴尔可能会发布安全相关的信息性文章,以分享各种安全相关主题的信息,例如:

  • 引入了新的安全强化功能;
  • 产品特定的安全配置指南和最佳实践;
  • 第三方组件中通过漏洞扫描工具识别但在指定的产品中不可利用的安全漏洞;
  • 关于应用特定安全更新的安装说明;
  • 关于可能会对戴尔产品产生影响的非戴尔产品联合必备条件和前提条件中安全更新的影响的信息。

可在 www.dell.com/support/security(英文版) 上访问戴尔安全公告和通知。在通过身份验证后,即可访问此链接以查阅信息文章。

如何报告安全漏洞

如果您在任何戴尔产品中发现安全漏洞,我们恳请您尽快向我们报告。及时识别和报告安全漏洞对于缓解客户的潜在风险至关重要。安全研究人员应通过 Dell Bugcrowd 站点(英文版)提交产品漏洞报告。  企业和商业产品客户及合作伙伴应联系各自的技术支持团队,就戴尔产品中发现的各种安全问题进行报告。技术支持团队、相应产品团队和戴尔 PSIRT 将共同努力解决所报告的问题,并为客户提供后续行动方案。

无法访问技术支持和/或不想加入错误赏金计划的行业组、供应商和其他用户可以通过电子邮件将漏洞报告直接发送给戴尔 PSIRT。在使用 PGP 和戴尔 PSIRT PGP 密钥(可在此处下载)传输敏感信息时,电子邮件消息和附件应进行加密。一旦情况允许,戴尔将立即确认您的漏洞披露报告。

在所有情况下,戴尔将努力在收到漏洞披露报告后的三 (3) 个工作日内确认您的漏洞披露报告,并以三十 (30) 个日历日或更短的频率提供补救更新。

在报告潜在漏洞时,请尽量提供以下信息,以帮助我们更好地了解所报告问题的性质和范围:

  • 包含可疑弱点/漏洞的产品名称和版本;
  • 用于重现问题的环境或系统信息(例如:产品型号、操作系统版本和其他相关信息);
  • 常见弱点枚举 (CWE) 和漏洞类型和/或类别(例如,跨站点脚本编写、缓冲区溢出、拒绝服务、远程代码执行);
  • 重现漏洞的分步说明;
  • 概念验证或开发代码;
  • 漏洞的潜在影响。

研究人员行为准则

如果漏洞使您能够访问机密或非公开信息(包括第三方数据、个人数据或戴尔标记为“内部使用”、“受限”或“高度受限”的任何信息),则您在将漏洞报告给戴尔时应根据必要尽可能减少访问此类信息。除了提交给戴尔,您不应存储、转让、使用、保留、披露或复制任何此类信息。

除非您具有所有者的明确权限,否则您也不应参与任何影响戴尔系统的完整性或可用性的操作。仅执行获取概念验证所需的最低要求。如果您在研究过程中发现性能下降,或者无意中导致违规或中断(例如访问客户数据或服务配置),请停止使用任何自动化工具并立即报告事件。如果您在任何时候都担心或不确定您的安全研究是否与此政策一致,请在继续之前询问 secure@dell.com

向戴尔通报其他安全问题

请通过下列相应联系人,向戴尔报告其他类型的安全问题:

安全问题

联系信息

要报告 Dell.com 或其他联机服务、Web 应用程序或属性中的安全漏洞或问题。

https://bugcrowd.com/dell-com(英文版) 中提交报告,并遵循重现相关问题的分步说明。

如果您怀疑身份被盗或遇到与 Dell Financial Services 相关的欺诈交易。

请参阅 Dell Financial Services 安全(英文版)。

要提交与隐私有关的请求或问题。

请参阅戴尔隐私(英文版)。

缺陷

戴尔致力于通过在安全公告和相关文档(其中可能包括发行说明、知识库文章和常见问题解答)中提供有关漏洞修复工作的信息,从而尽可能保持透明。  戴尔不共享已识别漏洞的已验证利用或概念验证代码。此外,根据行业实践,戴尔不会与外部实体共享内部安全测试或其他类型的特权信息的测试结果或概念验证。

客户的权利:保修、支持和维护

戴尔客户在保修、支持和维护(包括戴尔软件产品中的漏洞)方面的权利仅受戴尔和每个客户签署的适用协议的制约。此网页上的声明不会修改、扩大或修订任何客户权利,也不会创造任何附加保修。

免责声明

此漏洞响应策略的所有方面均有可能随时更改,恕不另行通知。戴尔不保证会对特定的某个或某类问题做出响应。如果您使用本文档中的信息或本文档中链接的资料,风险将由您自行承担。