政策目的
本政策旨在向客戶、電腦緊急應變團隊(CERT)(*1) 組織、供應商、研究人員及其他利害關係人說明 Yokogawa 集團處理漏洞的基本政策及流程。Yokogawa 集團承諾依據本政策對我們產品(*2) 的漏洞做出回應。
Yokogawa 集團對於利害關係人協助降低漏洞風險(即網路攻擊的弱點)以保障客戶資產安全表示由衷感謝。
基本政策
Yokogawa 集團認知到持續的風險評估及採取網路威脅防範措施是客戶資產管理的重要工作之一,因此致力於協助保障客戶資產安全。
在漏洞處理方面,Yokogawa 集團將提供產品漏洞的資訊及對應措施,以支持客戶管理相關風險。
流程
漏洞處理流程包含以下四個步驟。
1. 資訊接收
Yokogawa 集團接受任何方提供的產品漏洞資訊。通常,集團會在一至兩個工作日內與通報者聯絡以確認漏洞資訊接收情況,並可能要求提供補充資訊。
請透過以下連結通報漏洞資訊:
https://contact.yokogawa.com/cs/gw?c-id=000983
依據協調漏洞揭露(Coordinated Vulnerability Disclosure, CVD)(*3) 概念,Yokogawa 集團要求通報者在公開前先將新發現的漏洞資訊提供給 Yokogawa 或 CERT 組織。
2. 漏洞調查
Yokogawa 集團將調查可能受漏洞影響的產品,並與通報者分享結果。集團會依據通用漏洞評分系統(CVSS)(*4) 評估漏洞嚴重性等級。
3. 對應措施準備
Yokogawa 集團將根據漏洞嚴重性考慮以下對應措施並做準備:
- 修補措施:透過補丁、修正、升級等方式消除或降低漏洞風險
- 臨時對策:採取行動或其他措施以降低漏洞被利用的影響
4. 資訊提供
Yokogawa 集團將向客戶提供包含漏洞資訊的 Yokogawa Security Advisory Report (YSAR)。在提供前,集團會與通報者及 CERT 組織協調 YSAR 的內容及提供時機。
- YSAR 內容
YSAR 將包含以下資訊:
- 漏洞描述
- 受漏洞影響的產品及版本
- CVE 編號
- 嚴重性等級(CVSS 評分)
- 對應措施細節
- 通報者資訊(如通報者同意)
- 聯絡方式
- 提供方式
Yokogawa 集團將透過以下方式提供 YSAR:
- 在 Yokogawa 集團網站上公開
https://www.yokogawa.com/library/resources/white-papers/yokogawa-security-advisory-report-list/
- 根據各產品維護服務協議提供資訊
- 提供時機
原則上,Yokogawa 集團會在準備好提供修補措施後提供資訊;如有必要快速通知客戶(例如漏洞已被利用的案例),則會在準備好提供臨時對策時提供資訊。
5. CVE 編號
Yokogawa 集團作為 CVE 編號權威(CNA)(*5) 可以為產品漏洞分配 CVE 編號。
給通報者
在上述 Advisory Report 中將列出通報者資訊以示致謝。(如通報者同意)
(*1) 接收及公開漏洞資訊並發出警示的組織,例如 JPCERT/CC、CERT/CC 及 CISA
(*2) https://www.yokogawa.com/solutions/products-platforms/
(*3) 概念是發現者先私下通報給廠商或 CERT 組織,讓廠商在漏洞公開前準備對應措施,以用戶利益為首要考量。
參考:https://blogs.technet.microsoft.com/msrc/2010/07/22/announcing-coordinated-vulnerability-disclosure/
(*4) 用於評估漏洞嚴重性,等級從 0.0 到 10.0
參考:Common Vulnerability Scoring System https://www.first.org/cvss/
(*5) CVE
https://www.cve.org/About/Overview
聯絡方式
如有關於漏洞處理的相關問題,請透過以下連結聯絡我們:
https://contact.yokogawa.com/cs/gw?c-id=000498
修訂紀錄
2018 年 11 月 20 日:建立
2023 年 10 月 25 日:新增「5. CVE 編號」
新聞
-
新聞摘要 2023年10月25日 橫河電機參與CVE通用漏洞揭露計畫,為編號管理者
-加速網路資訊安全漏洞之披露-
想了解更多技術&解決方案嗎?
聯絡我們