Objectif
Cette politique a pour but de décrire les normes de Digi pour répondre aux vulnérabilités de sécurité potentielles connues dans les produits Digi qui intègrent Digi Embedded Yocto (DEY). Elle définit les objectifs de Digi en matière de communication des vulnérabilités potentielles et de résolution des problèmes pour les clients.
Portée
Tout logiciel peut potentiellement présenter des vulnérabilités ou des faiblesses qui peuvent être exploitées par un cybercriminel pour mener une attaque réussie. L'image du logiciel système d'un appareil comprend différents composants logiciels.
- Digi a développé des logiciels tels que le Digi ConnectCore® board support package (BSP) et les extensions logicielles Digi Embedded Yocto sont maintenus et détenus par Digi.
- Les paquets open-source en amont de la communauté Linux utilisés pour créer les images finales spécifiques aux clients sont maintenus et détenus par la communauté Linux et les clients.
- Les logiciels d'application des clients sont maintenus et détenus par les clients.
Outre la maintenance des logiciels appartenant à Digi, Digi fournit des services pour soutenir la maintenance des progiciels appartenant aux communautés/clients, tels que Digi ConnectCore Security Services et Digi Wireless Design Services.
Digi ConnectCore Les services de sécurité analysent les logiciels système fonctionnant sur les appareils ConnectCore basés sur un système sur module (SOM) pour détecter les risques et les vulnérabilités en matière de sécurité et aider à remédier aux problèmes. Digi ConnectCore Les services de sécurité sont un ensemble de services et d'outils qui permettent aux clients de maintenir la sécurité de leurs appareils ConnectCore SOM tout au long de leur cycle de vie. Ces services permettent aux clients de relever le défi permanent que représente le maintien de la sécurité des produits après leur mise sur le marché.
Les services comprennent l'analyse et la surveillance d'une nomenclature logicielle personnalisée (SBOM) et d'une image binaire fonctionnant sur Digi ConnectCore SOMs pour détecter les risques et les vulnérabilités en matière de sécurité. Pour aider à remédier aux problèmes identifiés, les services fournissent un rapport sur les vulnérabilités qui met en évidence les problèmes critiques, une couche logicielle de sécurité comprenant des correctifs pour les vulnérabilités courantes, et des services de conseil.
Les services de conception sans fil de Digi offrent une assistance technique de Digi pour le développement de logiciels et la maintenance de la sécurité. Digi fournit une assistance selon les instructions et les priorités des clients, sur la base d'un nombre convenu d'heures par mois, inclus dans l'accord de service.
Cette politique couvre spécifiquement les vulnérabilités de sécurité dans les produits commercialisés et pris en charge qui utilisent des images DEY. Nous définissons une vulnérabilité de sécurité comme une faiblesse ou une faille non intentionnelle dans le matériel, le micrologiciel ou le logiciel qui peut être exploitée par un agent de menace afin de compromettre l'appareil d'un client. Il s'agit notamment, mais pas exclusivement, de toutes les méthodes qui fournissent, intentionnellement ou non, des méthodes d'accès, des autorisations ou des informations non autorisées.
Cette politique ne couvre pas le support général et le processus de résolution des défauts non liés à la sécurité. Pour de plus amples informations sur les politiques de support général, veuillez consulter le site Digi Support Services.
Audience
Cette politique est destinée aux clients et aux distributeurs de Digi.
Introduction
Le Yocto Project™ est un projet de collaboration open source qui fournit des modèles, des outils et des méthodes pour vous aider à créer des systèmes Linux personnalisés pour les produits embarqués, quelle que soit l'architecture matérielle. Il s'agit d'un constructeur complet de distribution Linux embarquée avec des outils, des métadonnées et de la documentation.
Avec le projet Yocto, les clients peuvent compiler des milliers de paquets pour créer leurs images Linux personnalisées et ajouter des applications open-source communautaires à leurs appareils. Il construit les trois principaux composants d'un produit Linux embarqué :
- Le chargeur de démarrage
- Le noyau Linux
- L'espace utilisateur ou le système de fichiers racine
Digi Embedded Yocto est une distribution Linux embarquée open source et librement disponible, basée sur le projet Yocto. C'est la distribution de référence pour l'écosystème Digi ConnectCore de systèmes sur modules (SOM) et d'ordinateurs monocartes (SBC) embarqués, et elle est basée sur Poky, la distribution de référence du Projet Yocto. Elle inclut des personnalisations pour le matériel Digi ainsi que des extensions logicielles prêtes à l'emploi qui ne font pas partie du projet Yocto standard et qui aident les produits à être commercialisés plus rapidement.
Les plateformes Digi ConnectCore suivantes sont prises en charge :
- Digi ConnectCore 91
- Digi ConnectCore MP25
- Digi ConnectCore 93
- Digi ConnectCore MP13
- Digi ConnectCore MP15
- Digi ConnectCore 8M Mini
- Digi ConnectCore 8M Nano
- Digi ConnectCore 6+
- Digi ConnectCore 8X
- Digi ConnectCore 6UL
- Digi ConnectCore 6/6N
Digi accueille favorablement le signalement transparent des vulnérabilités et s'engage à les résoudre dans les meilleurs délais. Outre les rapports des utilisateurs, Digi recherche activement des vulnérabilités par le biais de tests internes, d'analyses statiques du code, de tests de pénétration indépendants et en évaluant les vulnérabilités et expositions communes (CVE) à venir. Ces vulnérabilités peuvent être introduites par une erreur de conception ou de développement ou (plus couramment) par la découverte d'une vulnérabilité dans une bibliothèque tierce intégrée dans le micrologiciel ou le logiciel d'un produit basé sur DEY. Les vulnérabilités peuvent être découvertes lors de tests de micrologiciels ou de logiciels, signalées publiquement en tant que vulnérabilités et expositions communes, ou découvertes par une évaluation de sécurité indépendante, un client ou une autre partie.
La politique de Digi est d'évaluer rapidement l'impact de toute vulnérabilité signalée. Une fois la vulnérabilité évaluée selon le système CVSS 4.0 (Common Vulnerability Scoring System), les détails de la vulnérabilité, ses impacts et les délais de résolution seront mis à la disposition des clients et des distributeurs.
Signaler les vulnérabilités potentielles
Les clients ou distributeurs qui rencontrent des problèmes de sécurité avec les produits DEY sont encouragés à signaler le problème dès que possible via le formulaire de sécurité Digi. Lorsque vous signalez une vulnérabilité potentielle, veuillez inclure autant d'informations que possible (y compris le numéro CVE si disponible) sur les circonstances et l'impact potentiel.
Évaluation des vulnérabilités potentielles
Digi utilise le système commun de notation des vulnérabilités (CVSS 4.0) en combinaison avec l'indice de gravité pour évaluer les vulnérabilités potentielles nouvellement signalées. Le score CVSS déterminé reflète la menace de sécurité potentielle de la vulnérabilité dans le contexte de la conception des produits Digi. L'équipe de sécurité et d'ingénierie de Digi se réserve le droit de reclasser en interne le score CVSS afin de déterminer la probabilité d'impact sur nos produits en fonction de la mise en œuvre. Les clients de Digi peuvent poser des questions sur les évaluations CVE. Pour ce faire, écrivez une chaîne de vecteurs en utilisant CVSS 4.0 du score déterminé par Digi et soumettre la demande à Support Digi.
Informations et délais de résolution
Ces délais de résolution concernent les logiciels développés par Digi, tels que la carte Digi ConnectCore (chargeur de démarrage, modifications du noyau Linux) et les extensions logicielles Digi Embedded Yocto, qui sont maintenues et détenues par Digi.
Le score CVSS 4.0 est utilisé pour établir des priorités et fixer des objectifs de communication et de résolution comme suit :
Gravité |
CVSS 4.0 |
Objectif de la résolution |
Informations sur la réparation |
Critique |
9.0-10.0 |
Les corrections seront poussées vers le dépôt public GitHub aussi vite que possible, avec un objectif de résolution de 4 semaines. |
Des informations seront publiées dans le dépôt GitHub et dans l'avis de sécurité. |
Haut |
7.0-8.9 |
Les corrections seront poussées vers le dépôt public GitHub aussi rapidement que possible, avec un objectif de résolution de 8 semaines. |
Les informations seront publiées dans le dépôt GitHub. |
Moyen |
4.0-6.9 |
Prochaine version majeure |
Voir les notes de version dans la distribution DEY correspondante. |
Mineur |
N/A |
Publication future |
Voir les notes de version dans la distribution DEY correspondante. |
Aucune vulnérabilité |
N/A |
N/A |
N/A |
Digi envoie généralement des correctifs pour les vulnérabilités "critiques" ou de "haute" gravité dans les dépôts publics DEY avant toute sortie prochaine d'une version DEY activement supportée, et une fois l'implémentation et les tests terminés. Dans ce cas, pour qu'un correctif soit efficace, la mise à jour vers une version DEY plus récente est obligatoire en raison des dépendances.
Résolution des vulnérabilités potentielles
Digi prend les vulnérabilités de sécurité au sérieux et s'efforce de mettre à la disposition des clients et des partenaires des solutions conformes aux objectifs de résolution pour tous les produits actuellement pris en charge. Pour vérifier quels produits ne sont plus pris en charge, veuillez consulter le portail client Digi pour obtenir une liste des notifications de changement de produit (PCN) et des annonces de fin de vie (EOL).
Toutes les résolutions logicielles sont livrées par le biais de nos canaux de diffusion standard, c'est-à-dire par le biais des dépôts publics DEY à Digi International Inc - Embedded. Les résolutions logicielles liées à la sécurité sont mises à la disposition de tous les clients, quel que soit le statut de la garantie.
Recevoir des informations sur les vulnérabilités potentielles
Les clients et partenaires peuvent s'abonner aux alertes et notifications du Digi Security Center pour recevoir des informations sur les vulnérabilités potentielles en cours d'évaluation ou de résolution.
Toutes les parties inscrites au Digi Security Center recevront des avis de sécurité de gravité critique et élevée qui fourniront des informations détaillées sur les vulnérabilités. Ils recevront également des mises à jour sur tous les problèmes qu'ils ont signalés, quel que soit leur type, par le biais de notre portail de soumission des vulnérabilités de sécurité ou de notre portail d'assistance technique.
Dernière mise à jour : Août 2024