Objectif
Cette politique a pour but de décrire les normes de Digi pour répondre aux vulnérabilités de sécurité potentielles connues dans la plateforme cloud de Digi Axess. Elle définit la politique de Digi en matière de communication des vulnérabilités potentielles et de résolution des problèmes pour les clients.
Portée
Cette politique couvre spécifiquement les vulnérabilités de sécurité de Digi Axess. Nous définissons une vulnérabilité de sécurité comme une faiblesse ou un défaut non intentionnel dans le logiciel qui a le potentiel d'être exploité par un agent de menace afin de compromettre la confidentialité, l'intégrité ou la disponibilité de Digi Axess.
Cette politique ne couvre pas le support général et le processus de résolution des défauts non liés à la sécurité. Pour plus d'informations sur les politiques générales de support, veuillez vous reporter à la section Support & Helpdesk Ops.
Audience
Cette politique est destinée à l'usage des partenaires et des clients de Digi.
Introduction
Digi Axess est conçu pour configurer, déployer et surveiller les actifs en toute sécurité sur les réseaux des clients. Notre produit comprend de nombreuses fonctions de sécurité telles que : RBAC, provisionnement sécurisé, politiques de sécurité (plages de blocs CIDR pour l'accès Web, etc.), capacité DUO 2FA, SAML, surveillance push/pull des journaux d'événements et alertes à l'aide du gestionnaire de configuration. Toutes les opérations sont programmables par API, de sorte que la configuration, les journaux ou le comportement de l'appareil peuvent facilement être surveillés par des solutions personnalisées.
Digi accueille favorablement le signalement transparent des vulnérabilités et s'engage à les résoudre dans les meilleurs délais. Outre les rapports des utilisateurs, Digi recherche activement les vulnérabilités par des tests internes, l'analyse statique/dynamique du code, des tests de pénétration internes/externes et l'évaluation continue des nouveaux CVE grâce à l'analyse de la composition des logiciels de la prochaine génération. Les vulnérabilités peuvent être découvertes par des tests de sécurité internes, signalées publiquement en tant que vulnérabilité et exposition communes (CVE), ou découvertes par une évaluation de sécurité indépendante, un client ou une autre partie.
La politique de Digi est d'évaluer rapidement l'impact de toute vulnérabilité signalée. Lorsque des vulnérabilités critiques très spécifiques ou des exploits de type "zero day" se produisent, nous pouvons publier un avis pour tenir nos clients informés de l'impact et des délais de correction ou des mesures d'atténuation.
Signaler les vulnérabilités potentielles
Les clients ou partenaires qui rencontrent des problèmes de sécurité avec Digi Axess sont encouragés à signaler le problème dès que possible via le formulaire de sécurité Digi. Lorsque vous signalez une vulnérabilité potentielle, veuillez inclure autant d'informations que possible (y compris le numéro CVE si disponible) sur les circonstances, une preuve de concept le cas échéant, l'impact potentiel, et vos coordonnées sont nécessaires pour que nous puissions communiquer en cours de route pendant le triage.
Évaluation des vulnérabilités potentielles
Digi utilise le système commun d'évaluation des vulnérabilités (CVSS 4.0). Le score CVSS déterminé reflète la menace de sécurité potentielle de la vulnérabilité dans le contexte de la conception des produits Digi. L'équipe de sécurité et d'ingénierie de Digi se réserve le droit de reclasser en interne le score CVSS afin de déterminer la probabilité d'impact sur nos produits en fonction de la mise en œuvre. Dans le cas où un consommateur de produits et services Digi aurait des doutes sur les déterminations effectuées, une chaîne de vecteurs utilisant CVSS V4 du score déterminé par Digi peut être fournie pour clarification par le biais d'une demande d'assistance à l'assistance Digi.
Informations et délais de résolution
Le score CVSS 4.0 est utilisé pour établir des priorités et fixer des objectifs de communication et de résolution comme suit :
Gravité |
CVSS 4.0 |
Objectif de la résolution |
Critique |
9.0-10.0 |
Publication du correctif dans les 30 jours |
Haut |
7.0-8.9 |
Publication du correctif dans les 30 jours |
Major |
4.0-6.9 |
Publication du correctif dans les 90 jours |
Mineur |
N/A |
Publication future |
Aucune vulnérabilité |
N/A |
N/A |
Résolution des vulnérabilités potentielles>
Digi prend les vulnérabilités de sécurité au sérieux et s'efforce de mettre des solutions à la disposition des clients et des partenaires conformément aux objectifs de résolution. Pour tous les produits actuellement pris en charge (pour vérifier quels produits ne sont plus pris en charge), veuillez consulter le portail client Digi pour obtenir une liste des PCN et des annonces EOL.
Pour les vulnérabilités critiques, Digi met en place un processus formel de gestion des incidents. Ce processus implique de consacrer les ressources appropriées à la résolution jusqu'à ce qu'un correctif soit publié. Le processus comprend des procédures de communication interne et d'escalade pour garantir que la résolution reçoit la plus haute priorité possible.
Toutes les vulnérabilités pertinentes sont continuellement résolues par des mises à jour du service Digi Axess grâce à notre technologie de sécurité logicielle, à moins que d'autres informations ne soient fournies dans un avis de sécurité.
Recevoir des informations sur les vulnérabilités potentielles
Les clients et les partenaires peuvent s'inscrire pour recevoir des informations sur les vulnérabilités potentielles qui sont en cours d'évaluation ou de résolution par le biais du Centre de sécurité Digi. Si vous voulez vous assurer de recevoir les dernières mises à jour, vous pouvez vous abonner au flux RSS.
Dernière mise à jour : Août 2024