目标
本政策旨在说明 Digi 对集成 Digi Embedded Yocto (DEY) 的 Digi 产品中已知潜在安全漏洞的响应标准。它定义了 Digi 在通报潜在漏洞和向客户提供解决方案方面的目标。
范围
任何软件都可能存在漏洞或薄弱环节,网络犯罪分子可利用这些漏洞或薄弱环节成功实施攻击。设备的系统软件映像包括不同的软件组件。
- Digi 开发的软件包,如 Digi ConnectCore®板支持包 (BSP) 和 Digi Embedded Yocto 软件扩展由 Digi 维护和拥有。
- 用于创建最终客户特定镜像的 Linux 社区开源上游软件包由 Linux 社区和客户维护和拥有。
- 客户应用软件由客户维护和拥有。
除了 Digi 自有的软件维护外,Digi 还提供支持社区/客户自有软件包维护的服务,如Digi ConnectCore 安全服务和Digi 无线设计服务。
Digi ConnectCore 安全服务分析在基于 ConnectCore 系统模块(SOM)的设备上运行的系统软件的安全风险和漏洞,并帮助修复问题。Digi ConnectCore 安全服务是一系列服务和工具,使客户能够在基于 ConnectCore SOM 的设备的整个生命周期内维护其安全性。这使客户能够解决在产品发布后保持产品安全的持续挑战。
这些服务包括分析和监控Digi ConnectCore SOM 上运行的定制软件物料清单(SBOM)和二进制映像,以查找安全风险和漏洞。为帮助补救已发现的问题,该服务提供了一份突出关键问题的漏洞报告、一个安全软件层(包括常见漏洞的补丁)和咨询服务。
Digi 无线设计服务由 Digi 提供软件开发和安全维护支持方面的技术支持。Digi 根据服务协议中约定的每月小时数,按照客户的指示和优先顺序提供支持。
本政策特别涵盖运行 DEY 映像的已发布和受支持产品中的安全漏洞。我们将安全漏洞定义为硬件、固件或软件中存在的无意弱点或缺陷,威胁代理有可能利用这些弱点或缺陷入侵客户的设备。这包括但不限于任何有意或无意提供未经授权的访问方法、权限或信息的方法。
本政策不包括对非安全相关缺陷的一般支持和解决流程。有关一般支持政策的更多信息,请访问Digi 支持服务。
导言
Yocto Project™是一个开源协作项目,它提供模板、工具和方法,帮助您为嵌入式产品创建基于 Linux 的定制系统,而无需考虑硬件架构。它是一个完整的嵌入式 Linux 发行版构建工具,包含工具、元数据和文档。
通过 Yocto 项目,客户可以编译数千个软件包,创建自己的定制 Linux 映像,并将社区开源应用程序添加到设备中。它构建了嵌入式 Linux 产品的三个主要组件:
Digi Embedded Yocto 是基于 Yocto 项目的嵌入式 Linux 发行版,开源且免费。它是Digi ConnectCore 嵌入式系统模块(SOM)和单板计算机(SBC)生态系统的参考发行版,基于 Yocto 项目的参考发行版 Poky。它包括针对 Digi 硬件的定制功能,以及不属于标准 Yocto 项目的开箱即用软件扩展,可帮助产品更快地推向市场。
支持以下Digi ConnectCore 平台:
- Digi ConnectCore 91
- Digi ConnectCore MP25
- Digi ConnectCore 93
- Digi ConnectCore MP13
- Digi ConnectCore MP15
- Digi ConnectCore 8M 迷你型
- Digi ConnectCore 8M 纳米
- Digi ConnectCore 6+
- Digi ConnectCore 8X
- Digi ConnectCore 6UL
- Digi ConnectCore 6/6N
Digi 欢迎透明地报告漏洞,并致力于及时解决这些漏洞。除了用户报告外,Digi 还通过内部测试、静态代码分析、独立渗透测试和评估即将出现的常见漏洞和暴露 (CVE),积极查找漏洞。这些漏洞可能是设计或开发中的错误造成的,或者(更常见的)是在集成到基于 DEY 产品的固件或软件中的第三方库中发现的漏洞。这些漏洞可能是通过固件或软件测试发现的,可能是作为常见漏洞和暴露公开报告的,也可能是由独立安全评估、客户或其他方发现的。
Digi 的政策是迅速评估任何报告漏洞的影响。一旦根据通用漏洞评分系统 (CVSS 4.0) 对漏洞进行评估,将向客户和分销商公布漏洞的详细信息、影响和解决时间表。
报告潜在漏洞
我们鼓励遇到 DEY 产品安全问题的客户或分销商尽快通过Digi 安全表格报告问题。在报告潜在漏洞时,请尽可能多地提供有关情况和潜在影响的信息(包括 CVE 编号(如有))。
评估潜在的脆弱性
Digi 使用通用漏洞评分系统 (CVSS 4.0) 结合严重性评级来评估新报告的潜在漏洞。确定的 CVSS 分数反映了漏洞在 Digi 产品设计中的潜在安全威胁。Digi 的安全和工程团队保留内部重新划分 CVSS 分数的权利,以便根据实施情况确定对我们产品造成影响的可能性。Digi 客户可以查询 CVE 评估。为此,请使用 CVSS 4.0 的矢量字符串,并将请求提交给 Digi 支持.
信息和解决时限
这些分辨率时间表适用于 Digi 开发的软件包,如Digi ConnectCore 板支持包(引导加载程序、Linux 内核修改)和 Digi Embedded Yocto 软件扩展,这些软件包由 Digi 维护和拥有。
CVSS 4.0 分值用于确定沟通和解决的优先次序和目标,具体如下:
严重性 |
CVSS 4.0 |
分辨率目标 |
修复信息 |
关键 |
9.0-10.0 |
修复程序将尽快推送到GitHub公共仓库,目标是在 4 周内解决。 |
相关信息将发布在 GitHub 存储库和安全公告中。 |
高 |
7.0-8.9 |
修复程序将以最快速度推送到GitHub公共仓库,目标解决时间为 8 周。 |
相关信息将发布在 GitHub 存储库中。 |
中型 |
4.0-6.9 |
下一个主要版本 |
请参阅相应 DEY 发行版中的发行说明。 |
未成年人 |
不适用 |
未来发布 |
请参阅相应 DEY 发行版中的发行说明。 |
无弱点 |
不适用 |
不适用 |
不适用 |
Digi 通常会在即将发布任何有效支持的DEY版本之前,并在完成实施和测试之后,将 "关键 "或 "高 "严重性漏洞的修复程序推送到DEY 公共存储库。在这种情况下,由于依赖关系,必须更新到更高的 DEY 版本,修复才能生效。
解决潜在漏洞
Digi 非常重视安全漏洞,并努力按照目前支持的所有产品的解决目标,向客户和合作伙伴提供解决方案。如需核实哪些产品不再受支持,请访问Digi 客户门户网站,查看产品变更通知 (PCN) 和使用寿命终止 (EOL) 公告列表。
所有软件解决方案均通过我们的标准发布渠道交付,即通过Digi International Inc.与安全相关的软件解决方案将提供给所有客户,无论其保修状态如何。
接收有关潜在漏洞的信息
客户和合作伙伴可以订阅 Digi 安全中心的警报和通知,以接收正在评估或解决的潜在漏洞信息。
任何已订阅Digi 安全中心的用户都将收到一些严重和高度严重的安全公告,其中将提供有关漏洞的详细信息。他们还将收到通过我们的安全漏洞提交门户或技术支持门户报告的所有问题(无论其类型如何)的最新信息。
最后更新2024 年 8 月