Politique de divulgation des vulnérabilités X-Sense
Politique de divulgation des vulnérabilités X-Sense
X-Sense accorde une grande importance à la sécurité de ses produits et services, en s'efforçant de développer des produits sécurisés et fiables tout en garantissant la protection de la vie privée des utilisateurs. En parallèle, les chercheurs en sécurité jouent un rôle crucial dans la protection des produits et des consommateurs de X-Sense. Nous avons établi une Politique de divulgation des vulnérabilités et un processus de gestion des vulnérabilités complet, conformément à des normes telles que ISO/IEC 30111 et ISO/IEC 29147. Cela garantit une réponse rapide lorsque des vulnérabilités sont découvertes et améliore la sécurité des produits.
- I. Évaluation de la gravité des vulnérabilités
- X-Sense utilise des pratiques reconnues dans l'industrie pour évaluer la gravité des vulnérabilités potentielles dans ses produits. Par exemple, nous nous référons au CVSS (Système de notation des vulnérabilités communes), qui se compose de trois groupes de métriques : Base, Temporelle et Environnementale. Nous encourageons également les utilisateurs à évaluer le score environnemental en fonction de leurs propres conditions réseau et à l'utiliser comme score final de la vulnérabilité dans des environnements spécifiques afin de soutenir les décisions concernant le déploiement de l'atténuation des vulnérabilités.
Différentes industries suivent des normes différentes. X-Sense utilise la Classification de la Sévérité de la Sécurité (SSR) comme méthode simplifiée pour classer les vulnérabilités. Grâce à la SSR, nous classons les vulnérabilités comme Critiques, Élevées, Moyennes, Faibles ou Informatives en fonction du score global de gravité.
- II. Directives pour le signalement des vulnérabilités
- Si vous découvrez une vulnérabilité de sécurité dans le système X-Sense, y compris, mais sans s'y limiter, les appareils X-Sense, l'application mobile X-Sense, les services, le cloud ou la sécurité des données, veuillez nous en informer rapidement.
Veuillez inclure les détails suivants dans votre rapport :
Modèle et version de la vulnérabilité observée, informations sur le logiciel, IP ou page concernée.
Une brève description du type de vulnérabilité, par exemple : « Il s'agit d'une vulnérabilité qui pourrait provoquer le plantage de l'application. »
Étapes pour reproduire le problème. Ces étapes doivent être bénignes, non destructives et servir de preuve de concept. Cela aide à ce que le rapport soit traité rapidement et avec précision.
Vous pouvez également envoyer votre rapport par email à support@x-sense.com.
- III. Délai de réponse
- 1. L'équipe de sécurité de X-Sense recevra le rapport de vulnérabilité et commencera à évaluer le problème dans un délai d'un jour ouvrable.
2. Les vulnérabilités critiques seront suivies dans les 24 heures, avec une conclusion préliminaire et une évaluation fournies.
3. Les vulnérabilités à haut risque seront suivies dans un délai de trois jours ouvrables, avec une conclusion préliminaire et une évaluation fournies.
4. Toutes les autres vulnérabilités seront suivies et évaluées dans un délai de sept jours ouvrables. Si le rapporteur estime que la situation est urgente, il peut envoyer un e-mail à support@x-sense.com. Après confirmation par un examinateur, le cas sera traité en priorité.
- IV. Déclaration de divulgation des vulnérabilités
- La gestion des vulnérabilités est effectuée tout au long du cycle de vie des versions de produits/logiciels, et X-Sense gérera les vulnérabilités pour tous les produits jusqu'à la date de fin de service (EOS).
Pour protéger nos utilisateurs, X-Sense ne divulguera, ne discutera ni ne confirmera aucun problème de sécurité tant qu'une enquête complète n'aura pas été terminée et qu'une mise à jour n'aura pas été publiée. Nous demandons aux personnes ayant signalé la vulnérabilité de la garder confidentielle et de ne pas partager ni divulguer les vulnérabilités non résolues à des tiers jusqu'à ce que X-Sense fournisse une solution de correctif appropriée.
Pour mieux soutenir les clients dans le déploiement des correctifs et l'évaluation des risques, X-Sense synchronisera l'état des correctifs de vulnérabilités avec les mises à jour logicielles. Nous recommandons de mettre à niveau vers la dernière version du produit/logiciel ou d'installer le dernier correctif selon les invitations à la mise à jour afin de réduire les risques de vulnérabilités.
