SICK AG產品和服務符合高質量要求����。這就是為什么在開發階段要考慮和測試網絡安全的原因����。為了確保產品和服務在其整個使用壽命期間都是安全的���,我們會非常認真地對待關于可能漏洞的報告��,并以最大的責任感來處理這些報告�����。發現漏洞是各方的共同目標���,旨在為我們的客戶提供始終如一的高安全級別�。
SICK PSIRT是SICK AG的核心團隊��,有權回答有關產品�、解決方案和服務網絡安全的報告并提供信息�����。所有與患病的AG產品相關的潛在漏洞或其他安全事故相關的報告都可以傳遞給患病的PSIRT�。
病態PSIRT管理安全漏洞的檢查��、內部協調和披露��。一旦有解決方案�,就會針對已確認的漏洞發布安全公告���。如果情況需要�����,在更新可用之前�����,會發出包含要采取的措施的安全建議�����。
非常歡迎任何人關于潛在漏洞或其他事件的報告����,無論其客戶身份如何���。SICK AG尊重并考慮到報告者的不同利益�,并鼓勵向SICK PSIRT報告信息�。目的是遵循漏洞協同披露流程(協同漏洞披露)����。
患病的PSIRT旨在與各自的記者一起以保密和專業的方式處理每個漏洞��。保密協議(NDA)或其他類型的合同都不是合作的必要條件��。非常感謝來自安全社區所有成員的協調漏洞報告���。其中包括安全研究人員����、大學�����、CERTs����、業務合作伙伴�����、其他機構����、行業協會和供應商���。許多患病的AG產品具有重要的保護功能���,用于關鍵基礎設施�����。因此����,SICK AG在處理漏洞的協調披露時要求合作����,并要求不要過早披露漏洞信息��。
SICK AG要求在報告中提供盡可能多的信息以加快處理速度�。該信息應包含以下內容:
聯系信息和可用性
受影響的產品包括型號和版本號
漏洞的分類(緩沖區溢出���,XSS�����,……)
漏洞的詳細描述(如有可能����,進行驗證)
漏洞的影響(如果知道)
當前對漏洞的了解程度(有計劃披露嗎����?)
記者(公司)隸屬關系(如果記者準備提供此類信息)
CVSS分數(如果已知)
如果檢查漏洞需要更多信息��,患病的PSIRT將聯系報告者�����。如果報告者愿意��,他/她將在披露新漏洞后得到公開承認��。
