目标
本政策旨在说明 Digi 应对 DAL OS 产品中已知潜在安全漏洞的标准。它规定了 Digi 在向客户通报潜在漏洞和提供解决方案方面的目标。
范围
本政策特别涵盖已发布和支持的 DAL OS 产品中的安全漏洞。我们将安全漏洞定义为硬件、固件或软件中的无意弱点或缺陷,威胁代理有可能利用这些弱点或缺陷入侵客户的网络。这包括但不限于任何无意中提供未经授权的访问方法、权限或信息的方法。
本政策不包括与安全无关的缺陷的一般支持和解决流程。有关一般支持政策的更多信息,请参阅支持与服务台操作。
观众
本政策供 Digi 合作伙伴和客户使用。
导言
DAL OS 是 Digi 的标准操作系统,集成在企业 (EX)、工业 (IX ) 和运输路由器 (TX )、设备和串行服务器 (Connect EZ)、控制台服务器和USB 连接设备中。
DAL OS 产品旨在成为客户网络中安全可靠的组成部分。我们的产品包括许多安全功能,如安全启动、防火墙、验证、授权和加密。Digi 工程实践禁止引入绕过这些功能的特性。
Digi 欢迎透明地报告漏洞,并致力于及时解决这些漏洞。除用户报告外,Digi 还通过内部测试、静态代码分析、独立渗透测试和评估新的 CVE 来积极查找漏洞。这些漏洞可能是由于设计或开发中的错误造成的,或者(更常见的)是由于在集成到 DAL OS 固件或软件中的第三方库中发现的漏洞造成的。这些漏洞可能是通过 DAL OS 测试发现的,也可能是作为常见漏洞和暴露 (CVE) 公开报告的,还可能是由独立安全评估、客户或其他方发现的。
Digi 的政策是迅速评估任何报告漏洞的影响。一旦根据通用漏洞评分系统 (CVSS 4.0) 对漏洞进行评估,将向客户和合作伙伴公布漏洞的详细信息、影响和解决时间表。
报告潜在漏洞
我们鼓励遇到 DAL OS 产品安全问题的客户或合作伙伴尽快通过Digi 安全表格报告问题。在报告潜在漏洞时,请尽可能多地提供有关情况和潜在影响的信息(包括 CVE 编号(如有))。
评估潜在的脆弱性
Digi 使用通用漏洞评分系统 (CVSS 4.0) 结合严重性评级来评估新报告的潜在漏洞。确定的 CVSS 分数反映了漏洞在 Digi 产品设计中的潜在安全威胁。Digi 的安全和工程团队保留内部重新划分 CVSS 分数的权利,以便根据 NIST 最初提出的实施差异来确定对我们产品造成影响的可能性。如果 Digi 产品和服务的消费者对判定结果有任何疑问,可通过向以下地址提出支持请求,提供 Digi 确定的分数的矢量字符串,以澄清问题 Digi 支持
信息和解决时限
CVSS 4.0 分值用于确定沟通和解决的优先次序和目标,具体如下:
严重性 |
CVSS 4.0 |
分辨率目标 |
修复信息 |
关键 |
9.0-10.0 |
在发布安全公告后 30 天内发布补丁程序 |
修复信息请参见补丁发布说明。 |
高 |
7.0-8.9 |
在发布安全公告后 30 天内发布补丁程序 |
修复信息请参见补丁发布说明。 |
中型 |
4.0-6.9 |
下一个主要版本 |
发布说明 |
未成年人 |
不适用 |
未来发布 |
发布说明 |
无弱点 |
不适用 |
不适用 |
不适用 |
解决潜在漏洞
Digi 非常重视安全漏洞问题,并努力按照目前支持的所有产品的解决目标,为客户和合作伙伴提供解决方案(要核实哪些产品不再受支持,请访问Digi 客户门户网站,查看 PCN 和 EOL 公告列表)。
对于关键漏洞,Digi 会制定正式的事件管理流程。该流程包括投入适当的资源来解决问题,直到发布修复程序。该流程包括内部沟通和升级程序,以确保解决方案获得最高优先级。
所有软件解决方案都将通过我们的标准发布渠道交付,即通过我们的Digi Remote Manager 门户网站和Digi 支持网站。在硬件保修期内的软件保修期结束后,我们将提供软件维护服务,直至软件发布日期结束。这包括为解决缺陷和更新安全功能所做的商业上合理的努力。客户可能需要升级到当前版本的固件和/或对设备进行其他更改,以实施这些更新。
当 Digi 宣布产品寿命终止(EOL)日期时,Digi 将定义一个软件发布终止日期,该日期将是最后一次出货日期的 1 年之后。
需要更改硬件设计的安全漏洞极为罕见。对于关键问题,Digi 将对受影响的设备进行全面召回。所有其他缺陷将通过正常的 RMA 流程进行处理。
接收有关潜在漏洞的信息
客户和合作伙伴可以注册,以便通过Digi 安全中心接收正在评估或解决的潜在漏洞信息
任何注册方都会收到一些严重和高度严重的安全公告,提供有关漏洞的详细信息。他们还将收到通过我们的提交门户或支持门户报告的所有问题的更新,无论其类型如何。
最后更新2024 年 8 月 19 日