產品網絡安全漏洞管理政策
(A) 簡介台達為致力於完善的產品網絡安全漏洞通報程序,並提供客戶可信賴的產品網絡安全漏洞指引與解決(緩解)方案,將產品網絡安全漏洞風險降至最低。為此台達建立產品網絡安全漏洞通報小組,負責處理通報至台達的產品網絡安全漏洞相關事宜。
台達產品網絡安全漏洞通報小組(Delta PSIRT)將持續參照國際與業界廣為接受與認可的相關作法、法規與標準,不斷強化產品網絡安全漏洞處理程序與措施。同時,藉由此政策確保台達同仁擁有一致和明確的漏洞通報處理方法,並了解如何應對此類事件。(B) 適用範圍產品網絡安全漏洞管理政策適用於台達所有產品相關部門及產品相關網絡安全漏洞通報事件。至於非標準產品或客製化產品,則依照協議(合約)內容進行處理。(C) 如何通報網絡安全漏洞如果您發現我們的產品有潛在的網絡安全漏洞,請透過產品網絡安全漏洞通報網站提交產品網絡安全漏洞報告。您的通報我們將進行確認,如果需要,將安排人員與您聯繫。若提交的漏洞通報資訊不完整、錯誤、重複或虛假,PSIRT將無法受理。
在通報潛在漏洞時,請盡可能包含以下資訊,以協助我們更明確瞭解通報問題的本質與影響範圍:
● 產品類型
● 產品名稱
● 軟體/韌體版本
● 漏洞描述
● 重現步驟
● 通用缺陷列表(CWE) ID
● 公共漏洞和暴露(CVE) ID
● CVSS Score
● CVSS Vector String(D) 產品網絡安全漏洞管理程序Delta的產品網絡安全漏洞管理程序包括五個階段,如下所列:
● 確認通報接收:Delta PSIRT 收到外部針對台達產品的漏洞通報後,通常會在2個工作天內對通報者作初步回應。
● 分類與評估:Delta PSIRT 對潛在的網絡安全漏洞進行分類與分析,以初步評估該漏洞對台達產品的影響程度。
● 調查:Delta PSIRT 將與產品開發部門共同協作,以確認漏洞的根因 (Root Cause) 並進一步評估對台達產品的影響程度。
● 緩解:Delta PSIRT 將與產品開發部門共同協作,開發軟/韌體修補程式或緩解措施。
揭露:Delta PSIRT 將在台達網站的產品網路安全公告(Product Cybersecurity Advisory)發布產品網路安全漏洞的結果。(E) 漏洞嚴重性和影響評分Delta PSIRT與產品開發團隊透過通用漏洞評分系統(Common Vulnerability Scoring System, CVSS)來評估漏洞問題的潛在風險。
CVSS是一種定性量化嚴重性的方法,並將諸多因素納入考量,包括利用漏洞所需投入的心力以及漏洞遭惡意探測時可能造成的影響。
在分析漏洞問題後,台達將根據評分分數、向量字串和嚴重性定性等級(即嚴重、高、中、低之一)來彙總漏洞的評估影響,具體等級如下:| Severity | CVSS 3.X Score |
|---|
| Critical | 9.0 – 10 |
| High | 7.0 – 8.9 |
| Medium | 4.0 – 6.9 |
| Low | 0 – 3.9 |
(F) 免責聲明此產品網絡安全政策如有任何變更,恕不另行通知。我們不保證對任何特定問題或問題類別做出回應。若使用本文件中的資訊或本文件中連結的內容,風險需由您自行承擔。 