Objectif
Cette politique a pour but de décrire les normes de Digi pour répondre aux vulnérabilités de sécurité potentielles connues dans les produits DAL OS. Elle définit les objectifs de Digi pour communiquer les vulnérabilités potentielles et fournir des résolutions aux clients.
Portée
Cette politique couvre spécifiquement les vulnérabilités de sécurité dans les produits DAL OS publiés et pris en charge. Nous définissons une vulnérabilité de sécurité comme une faiblesse ou un défaut non intentionnel dans le matériel, le micrologiciel ou le logiciel qui a le potentiel d'être exploité, par un agent de menace, afin de compromettre le réseau d'un client. Cela inclut, sans s'y limiter, toute méthode qui fournit involontairement des méthodes d'accès, des autorisations ou des informations non autorisées.
Cette politique ne couvre pas le support général et le processus de résolution des défauts non liés à la sécurité. Pour plus d'informations sur les politiques générales de support, veuillez vous reporter à la section Support & Helpdesk Ops.
Audience
Cette politique est destinée à l'usage des partenaires et des clients de Digi.
Introduction
DAL OS est le système d'exploitation standard de Digi intégré dans les routeurs d' entreprise (EX), industriels (IX) et de transport (TX), les serveurs de périphériques et de série (Connect EZ), les serveurs de console et les périphériques à connexion USB.
Les produits DAL OS sont conçus pour être des éléments sûrs et fiables des réseaux de nos clients. Nos produits incluent de nombreuses fonctionnalités de sécurité telles que le démarrage sécurisé, les pare-feu, l'authentification, l'autorisation et le cryptage. Les pratiques d'ingénierie de Digi interdisent l'introduction de fonctions qui contournent ces caractéristiques.
Digi accueille favorablement le signalement transparent des vulnérabilités et s'engage à les résoudre dans les meilleurs délais. Outre les rapports des utilisateurs, Digi recherche activement des vulnérabilités par le biais de tests internes, d'analyses statiques du code, de tests de pénétration indépendants et de l'évaluation de nouveaux CVE. Ces vulnérabilités peuvent être introduites par une erreur de conception ou de développement ou (plus fréquemment) par la découverte d'une vulnérabilité dans une bibliothèque tierce intégrée dans le micrologiciel ou le logiciel DAL OS. Les vulnérabilités peuvent être découvertes lors des tests du système DAL OS, signalées publiquement en tant que vulnérabilité et exposition communes (CVE), ou découvertes lors d'une évaluation indépendante de la sécurité, par un client ou par une autre partie.
La politique de Digi est d'évaluer rapidement l'impact de toute vulnérabilité signalée. Une fois la vulnérabilité évaluée selon le système CVSS 4.0 (Common Vulnerability Scoring System), les détails de la vulnérabilité, ses impacts et les délais de résolution seront rendus publics pour les clients et les partenaires.
Signaler les vulnérabilités potentielles
Les clients ou partenaires qui rencontrent des problèmes de sécurité avec les produits DAL OS sont encouragés à signaler le problème dès que possible via le formulaire de sécurité Digi. Lors du signalement d'une vulnérabilité potentielle, veuillez inclure autant d'informations que possible (y compris le numéro CVE si disponible) sur les circonstances et l'impact potentiel.
Évaluation des vulnérabilités potentielles
Digi utilise le système commun de notation des vulnérabilités (CVSS 4.0) en combinaison avec les notes de gravité pour évaluer les vulnérabilités potentielles nouvellement signalées. Le score CVSS déterminé reflète la menace de sécurité potentielle de la vulnérabilité dans le contexte de la conception des produits Digi. L'équipe de sécurité et d'ingénierie de Digi se réserve le droit de reclasser en interne le score CVSS afin de déterminer la probabilité d'impact sur nos produits en fonction des différences de mise en œuvre initialement citées par le NIST. Dans le cas où un consommateur de produits et services Digi aurait des doutes sur les déterminations effectuées, une chaîne de vecteurs du score déterminé par Digi peut être fournie pour clarification via une demande d'assistance à l'adresse suivante Support Digi
Informations et délais de résolution
Le score CVSS 4.0 est utilisé pour établir des priorités et fixer des objectifs de communication et de résolution comme suit :
Gravité |
CVSS 4.0 |
Objectif de la résolution |
Informations sur la réparation |
Critique |
9.0-10.0 |
Publication du correctif dans les 30 jours suivant la publication de l'avis de sécurité |
Les informations sur les correctifs se trouvent dans les notes de mise à jour du correctif. |
Haut |
7.0-8.9 |
Publication du correctif dans les 30 jours suivant la publication de l'avis de sécurité |
Les informations sur les correctifs se trouvent dans les notes de mise à jour du correctif. |
Moyen |
4.0-6.9 |
Prochaine version majeure |
Notes de mise à jour |
Mineur |
N/A |
Publication future |
Notes de mise à jour |
Aucune vulnérabilité |
N/A |
N/A |
N/A |
Résolution des vulnérabilités potentielles
Digi prend les vulnérabilités de sécurité au sérieux et s'efforce de mettre à la disposition de ses clients et partenaires des solutions conformes aux objectifs de résolution pour tous les produits actuellement pris en charge (pour vérifier quels produits ne sont plus pris en charge, veuillez consulter le portail client Digi pour obtenir une liste des PCN et des annonces EOL).
Pour les vulnérabilités critiques, Digi met en place un processus formel de gestion des incidents. Ce processus implique de consacrer les ressources appropriées à la résolution jusqu'à ce qu'un correctif soit publié. Le processus comprend des procédures de communication interne et d'escalade pour garantir que la résolution reçoit la plus haute priorité possible.
Toutes les résolutions logicielles seront livrées par le biais de nos canaux de diffusion standard, à savoir notre portailDigi Remote Manager et notre site d'assistance Digi. La maintenance du logiciel sera offerte après la période de garantie du logiciel pour la durée de la garantie du matériel et jusqu'à la date de fin de publication du logiciel. Cela inclut des efforts commercialement raisonnables pour corriger les défauts et mettre à jour les fonctions de sécurité. Les clients peuvent être amenés à passer à une version plus récente du micrologiciel et/ou à effectuer d'autres changements sur l'appareil pour mettre en œuvre ces mises à jour.
Lorsque Digi annonce la date de fin de vie (EOL) d'un produit, Digi définit une date de fin de mise à disposition du logiciel qui se situe 1 an après la date de la dernière livraison (Last Time Ship).
Les failles de sécurité nécessitant des modifications de la conception du matériel sont extrêmement rares. Pour les problèmes critiques, Digi émettra un rappel général pour les appareils concernés. Tous les autres défauts seront traités par le processus normal de RMA.
Recevoir des informations sur les vulnérabilités potentielles
Les clients et les partenaires peuvent s'inscrire pour recevoir des informations sur les vulnérabilités potentielles qui sont en cours d'évaluation ou de résolution par le biais du centre de sécurité Digi.
Toutes les parties enregistrées recevront des avis de sécurité de gravité critique ou élevée qui fourniront des informations détaillées sur la vulnérabilité. Ils recevront également des mises à jour sur tous les problèmes qu'ils ont signalés, quel qu'en soit le type, par l'intermédiaire de notre portail de soumission ou de notre portail d'assistance.
Dernière mise à jour : 19 août 2024