Objectif
Cette politique a pour but de décrire les normes de Digi pour répondre aux vulnérabilités de sécurité potentielles connues dans les produits DAL OS. Elle définit les objectifs de Digi pour communiquer les vulnérabilités potentielles et fournir des résolutions aux clients.
Portée
Cette politique couvre spécifiquement les vulnérabilités de sécurité dans les produits DAL OS publiés et pris en charge. Nous définissons une vulnérabilité de sécurité comme une faiblesse ou un défaut non intentionnel dans le matériel, le micrologiciel ou le logiciel qui a le potentiel d'être exploité, par un agent de menace, afin de compromettre le réseau d'un client. Cela inclut, sans s'y limiter, toute méthode qui fournit involontairement des méthodes d'accès, des autorisations ou des informations non autorisées.
Cette politique ne couvre pas le support général et le processus de résolution des défauts non liés à la sécurité. Pour plus d'informations sur les politiques générales de support, veuillez vous reporter à la section Support & Helpdesk Ops.
Audience
Cette politique est destinée à l'usage des partenaires et des clients de Digi.
Introduction
DAL OS est le système d'exploitation standard de Digi intégré dans les routeurs d' entreprise (EX), industriels (IX) et de transport (TX), les serveurs de périphériques et de série (Connect EZ), les serveurs de console et les périphériques à connexion USB.
Les produits DAL OS sont conçus pour être des éléments sûrs et fiables des réseaux de nos clients. Nos produits incluent de nombreuses fonctionnalités de sécurité telles que le démarrage sécurisé, les pare-feu, l'authentification, l'autorisation et le cryptage. Les pratiques d'ingénierie de Digi interdisent l'introduction de fonctions qui contournent ces caractéristiques.
Digi welcomes the transparent reporting of vulnerabilities and is committed to resolving them in a timely manner. In addition to reporting by users, Digi actively searches for vulnerabilities through internal testing, static code analysis, independent penetration testing and assessing new CVEs. These may be introduced through an error in design or development or (more commonly) through a vulnerability being discovered in a third-party library integrated into DAL OS firmware or software. The vulnerabilities may be discovered through DAL OS testing, reported publicly as a Common Vulnerability and Exposure (CVE), or discovered by an independent security assessment, a customer, or another party.
La politique de Digi est d'évaluer rapidement l'impact de toute vulnérabilité signalée. Une fois la vulnérabilité évaluée selon le Common Vulnerability Scoring System (CVSS 3.0), les détails de la vulnérabilité, ses impacts et les délais de résolution seront mis à la disposition des clients et des partenaires.
Signaler les vulnérabilités potentielles
Les clients ou partenaires qui rencontrent des problèmes de sécurité avec les produits DAL OS sont encouragés à signaler le problème dès que possible via le formulaire de sécurité Digi. Lors du signalement d'une vulnérabilité potentielle, veuillez inclure autant d'informations que possible (y compris le numéro CVE si disponible) sur les circonstances et l'impact potentiel.
Évaluation des vulnérabilités potentielles
Digi utilise le système commun de notation des vulnérabilités (CVSS 3.0) en combinaison avec les notes de gravité pour évaluer les vulnérabilités potentielles nouvellement signalées. Le score CVSS déterminé reflète la menace de sécurité potentielle de la vulnérabilité dans le contexte de la conception des produits Digi. L'équipe de sécurité et d'ingénierie de Digi se réserve le droit de reclasser en interne le score CVSS afin de déterminer la probabilité d'impact sur nos produits en fonction des différences de mise en œuvre initialement citées par le NIST. Dans le cas où un consommateur de produits et services Digi aurait des doutes sur les déterminations effectuées, une chaîne de vecteurs du score déterminé par Digi peut être fournie pour clarification via une demande d'assistance à l'adresse suivante Support Digi
Informations et délais de résolution
Le score CVSS 3.0 est utilisé pour établir des priorités et fixer des objectifs de communication et de résolution comme suit :
| Gravité |
CVSS 3.0 |
Objectif de la résolution |
Informations sur la réparation |
| Critique |
9.0-10.0 |
Publication du correctif dans les 30 jours suivant la publication de l'avis de sécurité |
Les informations sur les correctifs se trouvent dans les notes de mise à jour du correctif. |
| Haut |
7.0-8.9 |
Publication du correctif dans les 30 jours suivant la publication de l'avis de sécurité |
Les informations sur les correctifs se trouvent dans les notes de mise à jour du correctif. |
| Moyen |
4.0-6.9 |
Prochaine version majeure |
Notes de mise à jour |
| Mineur |
N/A |
Publication future |
Notes de mise à jour |
| Aucune vulnérabilité |
N/A |
N/A |
N/A |
Résolution des vulnérabilités potentielles
Digi prend les vulnérabilités de sécurité au sérieux et s'efforce de mettre à la disposition de ses clients et partenaires des solutions conformes aux objectifs de résolution pour tous les produits actuellement pris en charge (pour vérifier quels produits ne sont plus pris en charge, veuillez consulter le portail client Digi pour obtenir une liste des PCN et des annonces EOL).
Pour les vulnérabilités critiques, Digi met en place un processus formel de gestion des incidents. Ce processus implique de consacrer les ressources appropriées à la résolution jusqu'à ce qu'un correctif soit publié. Le processus comprend des procédures de communication interne et d'escalade pour garantir que la résolution reçoit la plus haute priorité possible.
Toutes les résolutions logicielles seront livrées via nos canaux de diffusion standard, c'est-à-dire via notre portailDigi Remote Manager et notre site de support Digi. Les résolutions logicielles liées à la sécurité sont mises à la disposition de tous les clients, quel que soit leur statut de garantie.
Les failles de sécurité nécessitant des modifications de la conception du matériel sont extrêmement rares. Pour les problèmes critiques, Digi émettra un rappel général pour les appareils concernés. Tous les autres défauts seront traités par le processus normal de RMA.
Recevoir des informations sur les vulnérabilités potentielles
Les clients et les partenaires peuvent s'inscrire pour recevoir des informations sur les vulnérabilités potentielles qui sont en cours d'évaluation ou de résolution par le biais du centre de sécurité Digi.
Toutes les parties enregistrées recevront des avis de sécurité de gravité critique ou élevée qui fourniront des informations détaillées sur la vulnérabilité. Ils recevront également des mises à jour sur tous les problèmes qu'ils ont signalés, quel qu'en soit le type, par l'intermédiaire de notre portail de soumission ou de notre portail d'assistance.
Dernière mise à jour : 20 décembre 2022