目标
本政策旨在说明 Digi 在应对 Digi Axess 云平台中已知的潜在安全漏洞时所采用的标准。它定义了 Digi 向客户通报潜在漏洞和提供解决方案的政策。
范围
本政策特别涵盖 Digi Axess 中的安全漏洞。我们将安全漏洞定义为软件中的无意弱点或缺陷,威胁代理有可能利用这些弱点或缺陷来破坏 Digi Axess 的保密性、完整性或可用性。
本政策不包括与安全无关的缺陷的一般支持和解决流程。有关一般支持政策的更多信息,请参阅支持与服务台操作。
导言
Digi Axess专用于在客户网络上安全地配置、部署和监控资产。我们的产品包括许多安全功能,例如RBAC、安全配置、安全策略(用于网络访问的 CIDR 块范围等)、支持 DUO 2FA、SAML、事件日志推/拉监控,以及使用配置管理器发出警报。所有操作都可通过 API 进行编程,因此设备配置、日志或行为都可通过自定义解决方案轻松监控。
Digi 欢迎透明地报告漏洞,并致力于及时解决这些漏洞。除用户报告外,Digi 还通过内部测试、静态/动态代码分析、内部/外部渗透测试以及利用下一代软件组成分析不断评估新的 CVE,积极查找漏洞。这些漏洞可能是通过内部安全测试发现的,也可能是作为 "常见漏洞和暴露"(CVE)公开报告的,还可能是由独立安全评估、客户或其他方发现的。
Digi 的政策是迅速评估任何报告漏洞的影响。当出现非常具体的关键漏洞或零日漏洞时,我们可能会发布通知,让客户了解其影响和修补时间表或缓解措施。
报告潜在漏洞
我们鼓励遇到 Digi Axess安全问题的客户或合作伙伴尽快通过Digi 安全表单报告问题。在报告潜在漏洞时,请尽可能多地提供有关情况的信息(包括 CVE 编号(如有))、概念验证(如适用)、潜在影响以及您的联系信息,以便我们在分流过程中进行沟通。
评估潜在的脆弱性
Digi 使用通用漏洞评分系统 (CVSS 4.0)。确定的 CVSS 分数反映了漏洞在 Digi 产品设计中的潜在安全威胁。Digi 的安全和工程团队保留内部重新划分 CVSS 分数的权利,以便根据实施情况确定对我们产品造成影响的可能性。如果 Digi 产品和服务的消费者对判定结果有任何疑问,可以通过向Digi 支持请求提供使用 CVSS V4 的矢量字符串来说明 Digi 确定的分数。
信息和解决时限
CVSS 4.0 分值用于确定沟通和解决的优先次序和目标,具体如下:
| 严重性 |
CVSS 4.0 |
分辨率目标 |
| 关键 |
9.0-10.0 |
30 天内发布补丁 |
| 高 |
7.0-8.9 |
30 天内发布补丁 |
| 主要 |
4.0-6.9 |
90 天内发布补丁 |
| 未成年人 |
不适用 |
未来发布 |
| 无弱点 |
不适用 |
不适用 |
解决潜在漏洞>
Digi 非常重视安全漏洞,并努力按照解决目标向客户和合作伙伴提供解决方案。对于目前支持的所有产品(要核实哪些产品不再支持),请访问Digi 客户门户网站,查看 PCN 和 EOL 公告列表。
对于关键漏洞,Digi 制定了正式的事件管理流程。该流程包括投入适当的资源来解决问题,直到发布修复程序。该流程包括内部沟通和升级程序,以确保解决方案获得最高优先级。
除非安全建议中提供了其他信息,否则所有相关漏洞都将通过我们的软件安全技术更新 Digi Axess 服务来持续解决。
接收有关潜在漏洞的信息
客户和合作伙伴可以注册,以便通过Digi 安全中心接收正在评估或解决的潜在漏洞信息,如果您想通过订阅 RSS 源确保获得最新更新,也可以注册。
最后更新2024 年 8 月