Slovensko | česky

Security Incident Management

Proč je nutný Incident Management?

Bohužel nelze 100% zabránit tomu, aby se v softwaru nevyskytovaly mezery v bezpečnosti. Je proto velmi důležité, aby uživatelé a správci byli o těchto mezerách včas informováni a mohli podniknout potřebná protiopatření dříve, než může dojít ke škodě. Aby systém včasné výstrahy správně fungoval, je zapotřebí, aby ve firmách fungoval příslušný management a byl vytvořen Product Security Incident Response Team (PSIRT).

Co je Security Advisory?

Security-Advisory informuje o mezeře v bezpečnosti, která se vyskytla v některém z našich produktů. Typicky se jedná o:

  • popis slabého místa,
  • odhad nebezpečnosti takového místa formou CVSS*-Scores,
  • vytvoření seznamu dotčených produktů včetně jejich verzí,
  • informace o nápravném opatření a případně poděkování těm, kdo nás na slabé místo upozornili.

*CVSS (Common Vulnerability Scoring System) je celosvětově uznávaná standardní metoda pro hodnocení, nakolik je slabé místo kritické. V současné době je CVSS k dispozici ve verzi 3.0. CVSSv3 definuje stupnici 0-10. 0 znamená nejnižší kritickou hodnotu, 10 nejvyšší.

Security Advisory

Aktuální Security Advisories najdete zde.

Security Advisories

Pilz Product Security Incident Response Team

Pilz Product Security Incident Response Team

Experti na bezpečnost z týmu PSIRT firmy Pilz analyzují, hodnotí a zpracovávají potenciální slabá místa z hlediska bezpečnosti a zabývají se případy relevantními pro produkty a řešení Pilz. Pokud se slabé místo potvrdí, Pilz PSIRT Security Advisories je zveřejní současně s pokyny, jak je odstranit.

Rádi bychom také požádali pracovníky pověřené bezpečností, nezávislé experty ve výzkumu, zákazníky a všechny další osoby, které s našimi produkty přicházejí do styku, aby nás informovali o problémech s bezpečností, se kterými se setkají u našich produktů a řešení. Jen taková spolupráce a následné společné jednání nám umožní bezpečnost našich produktů a řešení ještě více zlepšovat. Aby zmíněná slabá místa nevedla k ohrožení zákazníků nebo nezúčastněných osob, je vhodné jejich zveřejňování. Tento proces by měl být koordinovaný, a proto Vás prosíme, abyste se při zjištění problémů obraceli na náš tým PSIRT.

Proces Pilz Incident Management

Informace o zjištěných nedostatcích zasílejte zakódované pomocí PGP Public Key na adresu: security@pilz.com

K hlášení připojte prosím následující údaje:

  • položkové číslo příslušného produktu
  • firmware (pokud je k dispozici)
  • příp. Exploit nebo další data, která nám pomohou při řešení problému
  • Informace o tom, zda zranitelnost produktu je již veřejně známá (kdo informaci zveřejnil)

1. Analýza: Náš tým PSIRT nahlášené problematické místo prověří a podle potřeby si vyžádá od oznamovatele další informace. Uvědomte si prosím, že doba zkoumání závisí na komplexnosti problému a druhu produktu a může trvat několik dní až několik týdnů. Bez ohledu na to, zašleme oznamovateli nejpozději po 15 pracovních dnech první vyjádření.

2. Definování opatření: Podle závažnosti problému a příp. dalších vymezujících okolností bude připravena aktualizace. V případě gradujícího problému připraví Pilz Security Advisory. Během celého výše uvedeného procesu budeme pravidelně oznamovatele informovat o vývoji.

3. Zveřejnění: Po dokončení budou Security Advisory a příp. záplaty zveřejněny tak, aby bylo každému zákazníkovi umožněno jejich stažení. Pro download je nutné se přihlásit uživatelským jménem. Pokud zájemce ještě nemá založený profil, může se bezplatně zaregistrovat zde. Uvědomte si prosím, že v závislosti na závažnosti slabého místa může být záplata (patch) použita pouze v rámci životního cyklu typického pro produkt.

Security Advisories

Více o Security 4.0

Kontakt

Pilz Slovakia s.r.o.
Štúrova 101
05921 Svit
Slovakia

Telefon: +421 52 7152601
E-Mail: info@pilz.sk

Technická podpora

Telefon: +421 911 954 200
E-Mail: info@pilz.sk