Objectif
Cette politique est destinée à décrire les normes de Digi pour répondre aux vulnérabilités de sécurité potentielles connues dans la version cloud de Digi Remote Manager, et ne s'applique pas à la version sur site. Elle définit la politique de Digi pour communiquer les vulnérabilités potentielles et fournir des résolutions aux clients.
Portée
Cette politique couvre spécifiquement les vulnérabilités de sécurité dans Digi Remote Manager. Nous définissons une vulnérabilité de sécurité comme une faiblesse ou une faille non intentionnelle dans le logiciel qui a le potentiel d'être exploitée, par un agent de menace, afin de compromettre le réseau d'un client.
Cette politique ne couvre pas le support général et le processus de résolution des défauts non liés à la sécurité. Pour plus d'informations sur les politiques générales de support, veuillez vous reporter à la section Support & Helpdesk Ops.
Audience
Cette politique est destinée à l'usage des partenaires et des clients de Digi.
Introduction
Digi Remote Manager est conçu pour configurer, déployer et surveiller les actifs en toute sécurité sur les réseaux des clients. Notre produit comprend de nombreuses fonctions de sécurité telles que : RBAC, provisionnement sécurisé, politiques de sécurité (plages de blocs CIDR pour l'accès au Web, etc.), capacité DUO 2FA, SAML, surveillance des journaux d'événements push/pull, et alertes à l'aide du gestionnaire de configuration. Toutes les opérations sont programmables par API, de sorte que la configuration du dispositif, les journaux ou le comportement peuvent facilement être surveillés par des solutions personnalisées.
Digi welcomes the transparent reporting of vulnerabilities and is committed to resolving them in a timely manner. In addition to reporting by users, Digi actively searches for vulnerabilities through internal testing, static/dynamic code analysis, internal/external penetration testing and assessing new CVEs continously with next generation software composition analysis. The vulnerabilities may be discovered through internal security testing, reported publicly as a Common Vulnerability and Exposure (CVE), or discovered by an independent security assessment, a customer, or another party.
La politique de Digi est d'évaluer rapidement l'impact de toute vulnérabilité signalée. Lorsque des vulnérabilités critiques très spécifiques ou des exploits de type "zero day" se produisent, nous pouvons publier un avis pour tenir nos clients informés de l'impact et des délais de correction ou des mesures d'atténuation.
Signaler les vulnérabilités potentielles
Les clients ou partenaires qui rencontrent des problèmes de sécurité avec Digi Remote Manager sont encouragés à signaler le problème dès que possible via le formulaire de sécurité Digi. Lorsque vous signalez une vulnérabilité potentielle, veuillez inclure autant d'informations que possible (y compris le numéro CVE si disponible) sur les circonstances, une preuve de concept si applicable, l'impact potentiel, et vos coordonnées sont nécessaires pour que nous puissions communiquer au cours du triage.
Évaluation des vulnérabilités potentielles
Digi utilise le Common Vulnerability Scoring System (CVSS 3.0). Le score CVSS déterminé reflète la menace de sécurité potentielle de la vulnérabilité dans le contexte de la conception des produits Digi. L'équipe de sécurité et d'ingénierie de Digi se réserve le droit de reclasser en interne le score CVSS pour déterminer la probabilité d'impact sur nos produits en fonction de la mise en œuvre. Dans le cas où un consommateur de biens et services Digi aurait des questions sur les déterminations effectuées, une chaîne de vecteurs utilisant CVSS V3 du score déterminé par Digi peut être fournie pour clarification via une demande de support à l'adresse suivante Support Digi.
Informations et délais de résolution
Le score CVSS 3.0 est utilisé pour établir des priorités et fixer des objectifs de communication et de résolution comme suit :
| Gravité |
CVSS 3.0 |
Objectif de la résolution |
| Critique |
9.0-10.0 |
Publication du correctif dans les 30 jours |
| Haut |
7.0-8.9 |
Publication du correctif dans les 30 jours |
| Major |
4.0-6.9 |
Publication du correctif dans les 90 jours |
| Mineur |
N/A |
Publication future |
| Aucune vulnérabilité |
N/A |
N/A |
Résolution des vulnérabilités potentielles>
Digi prend les vulnérabilités de sécurité au sérieux et s'efforce de mettre à la disposition de ses clients et partenaires des solutions conformes aux objectifs de résolution. Pour tous les produits actuellement pris en charge (pour vérifier quels produits ne sont plus pris en charge), veuillez visiter le portail client de Digi pour obtenir une liste des PCN et des annonces EOL.)
Pour les vulnérabilités critiques, Digi met en place un processus formel de gestion des incidents. Ce processus implique de consacrer les ressources appropriées à la résolution jusqu'à ce qu'un correctif soit publié. Le processus comprend des procédures de communication interne et d'escalade pour garantir que la résolution reçoit la plus haute priorité possible.
Toutes les vulnérabilités pertinentes sont continuellement résolues par des mises à jour du service Remote Manager grâce à notre technologie d'analyse de la composition des logiciels, sauf si d'autres informations sont fournies dans un avis de sécurité.
Recevoir des informations sur les vulnérabilités potentielles
Les clients et les partenaires peuvent s'inscrire pour recevoir des informations sur les vulnérabilités potentielles qui sont en cours d'évaluation ou de résolution par le biais du Centre de sécurité Digi. Si vous voulez vous assurer de recevoir les dernières mises à jour, vous pouvez vous abonner au flux RSS.