Security Incident Management

Sikkerhedshuller i software kan ikke undgås 100 %. Derfor er det vigtigt, at vi rettidigt informerer brugere og administratorer om disse huller, så de kan træffe nødvendige modforanstaltninger, før der kan opstå skade. For at det kan fungere på en velordnet måde, er det vigtigt at etablere en passende administration inklusive et Product Security Incident Response Team (PSIRT) i virksomheden.

En Security Advisory informerer om et eksisterende sikkerhedshul i et af vores produkter og består typisk af følgende:

• Beskrivelsen af det svage punkt
• En vurdering af det svage punkts kritiske niveau i form af en CVSS*-score
• En liste over de omfattede produkter inklusive version
• Mulige modforanstaltninger og eventuelt en tak til dem, der har informeret os om det svage punkt.

*CVSS (Common Vulnerability Scoring System) er en globalt anerkendt standardmetode til vurdering af, hvor kritisk det svage punkt er. Aktuelt foreligger CVSS i version 3.0. CVSSv3 definerer en score på 0-10. Det laveste kritiske niveau vurderes til 0, og det højeste kritiske niveau vurderes til 10.

Her finder du de aktuelle Security Advisories.

Security Advisories

Security-eksperterne i Pilz PSIRT analyserer, vurderer og bearbejder potentielt svage punkter i sikkerheden samt Security-hændelser i forbindelse med produkter og løsninger fra Pilz. Hvis et svagt punkt er blevet bekræftet, offentliggør Pilz PSIRT Security Advisories det svage punkt med anvisninger til afhjælpning heraf.

Vi ønsker at opmuntre sikkerhedseksperter, uafhængige forskere, kunder og andre aktører til at informere os om sikkerhedsproblemer ved vores produkter og løsninger. Kun på denne måde har vi mulighed for sammen at diskutere og afstemme yderligere aktiviteter og forbedre vores produkters og løsningers Security. For ikke at bringe vores kunder og sagesløse i fare beder vi om en koordineret offentliggørelse af svage punkter med inddragelse af vores PSIRT.

Security-specialisterne i Pilz PSIRT bearbejder og vurderer alle meddelelser om mulige svage Security-punkter i Pilz-produkter. Hvis du har spørgsmål om Security, som angår vores produkter eller infrastruktur, eller ønsker at meddele sikkerhedshuller, bør du kontakte vores Security-eksperter i PSIRT. Kontakt PSIRT på tysk eller engelsk. Du kan typisk forvente en første reaktion i løbet af to arbejdsdage (CET).

Du bedes meddele Security-problemer med vores produkter, løsninger og onlinetjenester til:

PSIRT-kontaktperson

Tilføj følgende oplysninger til din meddelelse:

• Varenummer på det pågældende produkt
• Modul- og firmware (såfremt det findes)
• Evt. exploit eller andre data, som hjælper os med at rekonstruere problemet
• Henvisning om, hvorvidt det svage punkt allerede er blevet offentliggjort (af dig eller andre)

1. Analyse: Vores PSIRT undersøger det meddelte svage punkt og beder om yderligere oplysninger fra personen, som indgav meddelelsen. Bemærk venligst, at undersøgelsen afhængigt af det svage punkts kompleksitet og produkttype kan vare fra nogle dage til flere uger. Uafhængigt af dette giver vi personen, som indgav meddelelsen, den første tilbagemelding senest efter 15 arbejdsdage.

2. Definition af foranstaltninger: Afhængigt af hvor alvorligt det svage punkt er og om nødvendigt andre omgivende forhold, forberedes der opdateringer. I tilfælde af et alvorligt svagt punkt forbereder Pilz en Security Advisory. Under processen informerer vi løbende personen, som indgav meddelelsen, om status.

3. Offentliggørelse: Den færdige Security Advisory og om nødvendigt tilhørende patches offentliggøres her og stilles til rådighed for alle kunder som download. For at kunne downloade skal du logge på med dit brugernavn. Hvis du endnu ikke har en profil, kan du registrere dig gratis her. Bemærk venligst, at patches, afhængigt af hvor alvorligt det svage punkt er, eventuelt kun frigives i forbindelse med den produkttypiske release-cyklus.

Security Advisories