RESPOSTA A INCIDENTES DE SEGURANÇA DO PRODUTO DA HCL SOFTWARE
PSIRT DA HCL SOFTWARE
A HCL Software está comprometida com a segurança de todos os nossos produtos e serviços. A Equipe de Resposta a Incidentes de Segurança do Produto HCL Software (PSIRT) foi contratada para gerenciar a investigação e correção de vulnerabilidades de segurança relacionadas às ofertas da HCL Software. Esta página descreve nossa política e processo para lidar com vulnerabilidades de segurança em nossos produtos.
DENUNCIAR UMA VULNERABILIDADE DE SEGURANÇA
A HCL Software define uma vulnerabilidade de segurança como uma fraqueza ou falha em um produto ou serviço que pode permitir que um invasor comprometa a integridade, disponibilidade ou confidencialidade do produto ou serviço.
Se você for um cliente do governo federal dos EUA, ligue para o número gratuito federal 1-855-855-5016 ou para o número federal 1-984-333-9914 para obter assistência. Todos os outros clientes, por favor, usem o formulário Security Case no Portal de suporte HCL para enviar seu relatório. Se você é um pesquisador de segurança, envie seu relatório por e-mail para PSIRT@hcl.com. Veja o Política de divulgação de vulnerabilidade de software HCL Para maiores informações.
Inclua detalhes do produto e versão do software, plataforma de hardware, etapas de reprodução, impacto potencial e uma prova de conceito (se possível). Isso nos permitirá duplicar o problema e responder ao seu relatório em tempo hábil.
ANÁLISE E REMEDIAÇÃO
Reconhecimento e Análise de um Relatório de Vulnerabilidade
Se você enviou um relatório de vulnerabilidade por meio do Portal de Atendimento ao Cliente HCL, O Suporte de Software HCL confirmará o recebimento do relatório em até 2 dias úteis. Um número de rastreamento será fornecido no e-mail de confirmação. Por favor, inclua este número de rastreamento no assunto de todas as outras comunicações de e-mail relacionadas ao envio.
Correção de vulnerabilidade
Para todas as vulnerabilidades de segurança validadas que afetam os produtos e serviços da HCL Software que estão em suporte ativo, a HCL Software fornecerá uma correção ou solução alternativa. Um Boletim de Segurança descrevendo a correção ou solução alternativa será publicado na Base de Conhecimento no Suporte ao Cliente HCL portal.
Classificação de gravidade
HCL Software usa a versão 3.0 do Sistema de pontuação de vulnerabilidade comum (CVSS) como parte de seu processo padrão de avaliação de vulnerabilidades potenciais relatadas em produtos da HCL Software. O modelo CVSS usa três medidas ou pontuações distintas que incluem cálculos de Base, Temporais e Ambientais.
A HCL Software fornecerá uma avaliação da pontuação de vulnerabilidade básica e, em alguns casos, fornecerá uma pontuação de vulnerabilidade temporal. Os usuários finais são incentivados a calcular a pontuação ambiental com base em seus parâmetros de rede. A combinação das três pontuações deve ser considerada a pontuação final, que representa um momento no tempo e é adaptada a um ambiente específico. As organizações são aconselhadas a usar essa pontuação final para priorizar as respostas em seus próprios ambientes.
BOLETIM DE SEGURANÇA
Avisos ou boletins de informações de segurança do produto e atualizações de software
As informações relacionadas às vulnerabilidades abordadas são publicadas em Comunicados de Segurança ou Boletins de Segurança, que estão disponíveis na Base de Conhecimento no Suporte ao Cliente HCL portal." Você pode se inscrever para receber notificações push por e-mail para os boletins de segurança que lhe interessam visitando o HCL PSIRT Blog e subscrevendo um ou mais dos Tópicos no lado direito da página. Você também pode pesquisar boletins de segurança na Base de conhecimento de suporte da HCL.
Os boletins de segurança são publicados nas seguintes situações:
- Um problema de segurança que seja específico do nosso software ou que afete software de código aberto que possa ser razoavelmente considerado como afetando nosso software é divulgado publicamente e amplamente disponível; E uma correção está disponível em uma ou mais versões de software com suporte.
- Um problema de segurança que afeta nosso software é relatado em particular à HCL Software; e uma correção está disponível nas versões de software atualmente suportadas.
Os boletins de segurança incluirão as seguintes informações, quando aplicável:
- Produtos e versões afetados
- Descrição da vulnerabilidade
- Classificação de impacto potencial
- ID do enumerador de vulnerabilidade comum (CVE: http://cve.mitre.org )
- Classificação de gravidade (A HCL usa a versão 3 do Common Vulnerability Scoring System, CVSSv3; https://www.first.org/cvss/user-guide)
- Atualizações, correções ou soluções alternativas disponíveis
- Reconhecimento do relator (se aplicável)
Afiliações da indústria
- Sistema de pontuação de vulnerabilidade comum (CVSS)
- Vulnerabilidades e Exposições Comuns (CVE)
- Estrutura de relatório de vulnerabilidade comum (CVRF)
- ICASI (Consórcio da Indústria para o Avanço da Segurança na Internet)
- FIRST (Fórum de Resposta a Incidentes e Equipes de Segurança)
- https://www.iso.org/standard/45170.html
Avisos ou boletins de informações de segurança do produto e atualizações de software
As informações relacionadas às vulnerabilidades abordadas são publicadas em Comunicados de Segurança ou Boletins de Segurança, que estão disponíveis na Base de Conhecimento no Suporte ao Cliente HCL portal." Você pode se inscrever para receber notificações push por e-mail para os boletins de segurança que lhe interessam visitando o HCL PSIRT Blog e subscrevendo um ou mais dos Tópicos no lado direito da página. Você também pode pesquisar boletins de segurança na Base de conhecimento de suporte da HCL.
Os boletins de segurança são publicados nas seguintes situações:
- Um problema de segurança que seja específico do nosso software ou que afete software de código aberto que possa ser razoavelmente considerado como afetando nosso software é divulgado publicamente e amplamente disponível; E uma correção está disponível em uma ou mais versões de software com suporte.
- Um problema de segurança que afeta nosso software é relatado em particular à HCL Software; e uma correção está disponível nas versões de software atualmente suportadas.
Os boletins de segurança incluirão as seguintes informações, quando aplicável:
- Produtos e versões afetados
- Descrição da vulnerabilidade
- Classificação de impacto potencial
- ID do enumerador de vulnerabilidade comum (CVE: http://cve.mitre.org )
- Classificação de gravidade (A HCL usa a versão 3 do Common Vulnerability Scoring System, CVSSv3; https://www.first.org/cvss/user-guide)
- Atualizações, correções ou soluções alternativas disponíveis
- Reconhecimento do relator (se aplicável)
Afiliações da indústria
- Sistema de pontuação de vulnerabilidade comum (CVSS)
- Vulnerabilidades e Exposições Comuns (CVE)
- Estrutura de relatório de vulnerabilidade comum (CVRF)
- ICASI (Consórcio da Indústria para o Avanço da Segurança na Internet)
- FIRST (Fórum de Resposta a Incidentes e Equipes de Segurança)
- https://www.iso.org/standard/45170.html
