Security Incident Management

Bohužel nelze 100% zabránit tomu, aby se v softwaru nevyskytovaly mezery v bezpečnosti. Je proto velmi důležité, aby uživatelé a správci byli o těchto mezerách včas informováni a mohli podniknout potřebná protiopatření dříve, než může dojít ke škodě. Aby systém včasné výstrahy správně fungoval, je zapotřebí, aby ve firmách fungoval příslušný management a byl vytvořen Product Security Incident Response Team (PSIRT).

Security-Advisory informuje o mezeře v bezpečnosti, která se vyskytla v některém z našich produktů. Typicky se jedná o:

• popis slabého místa,
• odhad nebezpečnosti takového místa formou CVSS*-Scores,
• vytvoření seznamu dotčených produktů včetně jejich verzí,
• informace o nápravném opatření a případně poděkování těm, kdo nás na slabé místo upozornili.

*CVSS (Common Vulnerability Scoring System) je celosvětově uznávaná standardní metoda pro hodnocení, nakolik je slabé místo kritické. V současné době je CVSS k dispozici ve verzi 3.0. CVSSv3 definuje stupnici 0-10. 0 znamená nejnižší kritickou hodnotu, 10 nejvyšší.

Aktuální Security Advisories najdete zde.

Security Advisories

Experti na bezpečnost z týmu PSIRT firmy Pilz analyzují, hodnotí a zpracovávají potenciální slabá místa z hlediska bezpečnosti a zabývají se případy relevantními pro produkty a řešení Pilz. Pokud se slabé místo potvrdí, Pilz PSIRT Security Advisories je zveřejní současně s pokyny, jak je odstranit.

Rádi bychom také požádali pracovníky pověřené bezpečností, nezávislé experty ve výzkumu, zákazníky a všechny další osoby, které s našimi produkty přicházejí do styku, aby nás informovali o problémech s bezpečností, se kterými se setkají u našich produktů a řešení. Jen taková spolupráce a následné společné jednání nám umožní bezpečnost našich produktů a řešení ještě více zlepšovat. Aby zmíněná slabá místa nevedla k ohrožení zákazníků nebo nezúčastněných osob, je vhodné jejich zveřejňování. Tento proces by měl být koordinovaný, a proto Vás prosíme, abyste se při zjištění problémů obraceli na náš tým PSIRT.

Specialisté na bezpečnost z týmu Pilz PSIRT posuzují a zpracovávají všechna hlášení týkající se možných slabých míst u produktů Pilz. Máte-li dotazy, které se týkají bezpečnosti našich produktů nebo infrastruktury nebo chcete-li upozornit na mezeru v bezpečnosti, obraťte se prosím na experty z týmu PSIRT. Tým PSIRT můžete kontaktovat v německém nebo anglickém jazyce. První reakci pak můžete očekávat zpravidla během dvou pracovních dnů (CET).

Při problémech s bezpečností našich produktů, při otázkách k řešení a službám online se obracejte na:

PSIRT

K Vaší zprávě připojte prosím následující údaje:

• položkové číslo příslušného produktu
• firmware produktu (pokud je k dispozici)
• příp. Exploit nebo další data, která nám pomohou při řešení problému
• Informace o tom, zda zranitelnost produktu je již veřejně známá (kdo informaci zveřejnil)

1. Analýza: Náš tým PSIRT nahlášené problematické místo prověří a podle potřeby si vyžádá od oznamovatele další informace. Uvědomte si prosím, že doba zkoumání závisí na komplexnosti problému a druhu produktu a může trvat několik dní až několik týdnů. Bez ohledu na to, zašleme oznamovateli nejpozději po 15 pracovních dnech první vyjádření.

2. Definování opatření: Podle závažnosti problému a příp. dalších vymezujících okolností bude připravena aktualizace. V případě gradujícího problému připraví Pilz Security Advisory. Během celého výše uvedeného procesu budeme pravidelně oznamovatele informovat o vývoji.

3. Zveřejnění: Po dokončení budou Security Advisory a příp. záplaty zveřejněny tak, aby bylo každému zákazníkovi umožněno jejich stažení. Pro download je nutné se přihlásit uživatelským jménem. Pokud zájemce ještě nemá založený profil, může se bezplatně zaregistrovat zde. Uvědomte si prosím, že v závislosti na závažnosti slabého místa může být záplata (patch) použita pouze v rámci životního cyklu typického pro produkt.

Security Advisories