Сообщить об уязвимости в системе безопасности
Команда Dewesoft по реагированию на инциденты, связанные с безопасностью продуктов (PSIRT), приветствует сообщения от пользователей и исследователей. Если вы считаете, что обнаружили уязвимость на веб-сайте или в продукте Dewesoft, либо проблему, связанную с защитой данных, выберите ниже подходящий канал связи и отправьте нам подробную информацию.
О ДАННОЙ СТРАНИЦЕ
Как сообщить об уязвимости в системе безопасности
Команда Dewesoft PSIRT приветствует ответственное раскрытие информации об уязвимостях в системе безопасности. Скоординированное информирование помогает нам быстрее устранять проблемы, держать клиентов в курсе событий и постоянно повышать уровень безопасности нашего программного обеспечения, приборов и онлайн-сервисов.
Пожалуйста, ознакомьтесь с приведенными ниже каналами и выберите тот, который соответствует вашему обнаружению. Каждое сообщение проверяется группой PSIRT и обрабатывается в режиме конфиденциальности.
Это не проблема безопасности? Вопросы общего характера, касающиеся качества, гарантии, лицензирования или технической поддержки, не входят в сферу компетенции PSIRT. Пожалуйста, воспользуйтесь стандартной Служба поддержки Dewesoft и каналы связи Вместо этого, чтобы ваш запрос без задержки поступил в нужную команду.
ТРИ КАНАЛА ОТЧЁТНОСТИ
Куда отправить отчет
КАНАЛ 01 · ВЕБ
Уязвимости в безопасности веб-сайтов
В случае обнаружения уязвимостей или инцидентов, затрагивающих веб-сайт или онлайн-сервисы компании Dewesoft — например, dewesoft.com, порталы службы поддержки, для разработчиков, форума или интернет-магазина.
К типичным обнаруженным проблемам относятся межсайтовый скриптинг, уязвимости, связанные с инъекцией кода, аутентификацией или контролем доступа, небезопасная настройка или утечка конфиденциальных данных.
КАНАЛ 02 · ПРОДУКТ
Уязвимости в безопасности продуктов
В отношении уязвимостей или инцидентов, связанных с продуктами Dewesoft, включая программное обеспечение DewesoftX и DewesoftM, встроенное ПО, API и SDK, а также аппаратное обеспечение для сбора данных, такое как SIRIUS, KRYPTON, IOLITE, OBSIDIAN и связанные с ними устройства.
Пожалуйста, укажите точное название продукта, модель и версию программного обеспечения или прошивки, в которых возникла проблема.
КАНАЛ 03 · ДАННЫЕ
Вопросы защиты данных
По вопросам защиты данных и конфиденциальности — например, в случае подозрения об утечке персональных данных, раскрытия личной информации или при возникновении вопросов о том, как компания Dewesoft обрабатывает ваши данные.
Вы также можете использовать этот канал для подачи запросов в качестве субъекта данных в соответствии с действующим законодательством о конфиденциальности.
СДЕЛАЙТЕ СВОЙ ОТЧЕТ ПРАКТИЧЕСКИ ПРИМЕНИМЫМ
Какую информацию следует включить
Что касается уязвимостей веб-сайта или продукта, чем больше подробностей вы предоставите, тем быстрее мы сможем воспроизвести и устранить проблему. По возможности, пожалуйста, укажите:
01
Цель, подвергшаяся воздействию
Наименование продукта, модель, версия программного обеспечения или встроенного ПО — либо точный URL-адрес уязвимости веб-сайта.
02
Описание и доказательство
Четкое описание уязвимости с указанием шагов для ее воспроизведения, доказательства концепции, кода эксплойта или сетевых трассировок (при наличии).
03
Публичные ссылки
Любые связанные с этим ссылки, а также информация о том, был ли данный вопрос уже обнародован — и кем именно.
Отправляете большие файлы? Если вам нужно передать большой объем данных, сообщите об этом в письме, и мы согласуем с вами способ безопасной передачи.
ОТВЕТСТВЕННОЕ РАСКРЫТИЕ ИНФОРМАЦИИ
Сотрудничество в духе доброй воли
Мы просим исследователей соблюдать эти принципы, чтобы мы могли выявлять и устранять проблемы, не подвергая риску ни пользователей, ни системы.
✓ Пожалуйста, сделайте это
Сообщите о том, что вы обнаружили, как можно скорее после обнаружения.
Предоставьте нам разумный срок для проведения расследования и принятия мер по исправлению ситуации, прежде чем обнародовать эту информацию.
Предоставьте достаточно подробную информацию, чтобы можно было воспроизвести проблему.
Действуйте добросовестно и избегайте нарушений конфиденциальности или сбоев в работе сервиса.
✕ Пожалуйста, избегайте
Доступ к данным, которые вам не принадлежат, их изменение или удаление.
Снижение доступности сервиса, например, тестирование на отказ в обслуживании.
Социальная инженерия, фишинг или физические атаки, направленные против персонала или объектов.
Публичное раскрытие информации об этой проблеме до того, как мы её устраним.
Важная информация
01 Отчеты, представленные в Английский будут обработаны в кратчайшие сроки. Пожалуйста, опишите проблему как можно подробнее.
02 Ранее опубликованные уязвимости и проблемы, отнесенные к категории информационный может не подпадать под критерии признания.
03 Мы выражаем признательность исследователям, которые помогают нам повысить уровень безопасности. Укажите в своём отчёте, хотите ли вы, чтобы ваша заслуга была отмечена, и каким образом.
04 Мы настоятельно рекомендуем зашифрованное электронное письмо конфиденциальной информации. Перед отправкой обратитесь в PSIRT, чтобы запросить наш актуальный открытый ключ шифрования.