Security Incident Management

Perché è necessario Incident Management?

Non è possibile escludere al 100% le falle del software. Tuttavia, è importante informare tempestivamente utenti e amministratori per consentire loro di adottare contromisure prima che le falle possano causare danni. Al fine di garantire il funzionamento corretto di tale processo è necessario implementare in azienda un sistema di gestione, incluso un team dedicato a tale compito, il Product Security Incident Response Team (PSIRT).

Cos’è un Security Advisory?

Un Security Advisory contiene informazioni relative a una falla esistente nella sicurezza in un prodotto Pilz e, normalmente, include quanto segue:

  • La descrizione della vulnerabilità,
  • una stima della gravità di tale vulnerabilità, assegnando un punteggio CVSS*,
  • elenco dei prodotti coinvolti con indicazione della relativa versione,
  • possibili contromisure ed eventuali ringraziamenti a coloro che hanno comunicato la vulnerabilità.

*Il CVSS (Common Vulnerability Scoring System) è un sistema di misurazione standard, riconosciuto a livello internazionale, utilizzato per valutare la gravità di una vulnerabilità. Attualmente, il CVSS è in uso nella versione 3.0. Il CVSSv3 assegna ad ogni vulnerabilità un punteggio da 0 a 10, dove 0 indica la criticità più bassa e 10 indica la criticità più alta.

Security Advisory

Qui sono disponibili i Security Advisory attuali.

Security Advisory

Download degli attuali Security Advisories

Numero documento Titolo Versione Ultimo aggiornamento Download Documento
Security Advisory-1005485-DE-02 WIBU CodeMeter Runtime 02 24.09.2020 Download
Security Advisory-1004985-DE-01 PNOZmulti Configurator 01 18.01.2019 Download
Security Advisory-1004697-DE-01 Spectre und Meltdown 01 02.03.2018 Download

Pilz Product Security Incident Response Team (PSIRT)

Pilz Product Security Incident Response Team

Gli esperti di sicurezza informatica PSIRT di Pilz analizzano, valutano ed elaborano potenziali falle della sicurezza, così come incidenti legati alla sicurezza di prodotti e soluzioni Pilz. Se viene confermata una vulnerabilità, il team PSIRT di Pilz pubblica i Security Advisory contenenti le istruzioni per eliminare tale vulnerabilità.

Desideriamo incoraggiare esperti di sicurezza, ricercatori indipendenti, clienti e altri soggetti a comunicarci i problemi di sicurezza relativi a prodotti e soluzioni Pilz. Solo così facendo è possibile discutere e definire insieme altre attività per migliorare il livello di sicurezza di prodotti e soluzioni Pilz. Per non mettere in pericolo i nostri clienti e tutti coloro che sono coinvolti, auspichiamo una pubblicazione coordinata delle vulnerabilità con il coinvolgimento del team PSIRT Pilz.

Per contattare il team PSIRT di Pilz

Gli specialisti di sicurezza informatica del team Pilz PSIRT elaborano e valutano tutte le comunicazioni relative a possibili vulnerabilità dei prodotti Pilz. Per qualsiasi domanda in tema di Security relativa a prodotti o infrastruttura Pilz oltre che per segnalare eventuali lacune di sicurezza potete rivolgervi ai nostri esperti del team PSIRT. La comunicazione deve essere in inglese o tedesco. I tempi di risposta sono di norma due giorni lavorativi (CET).

Per comunicare problemi di security relativi a prodotti, soluzioni o servizi online Pilz rivolgersi a:

Contatto PSIRT

La comunicazione deve includere le seguenti informazioni:

  • Codice del prodotto interessato
  • firmware e hardware (se disponibili)
  • ev. exploit o altri dati utili per riprodurre il problema
  • Indicare se la vulnerabilità è già stata pubblicata (da voi o da un altro organismo)

Il processo Incident Management di Pilz

1. Analisi: Il team PSIRT Pilz analizza la vulnerabilità comunicata e, se necessario, richiede ulteriori informazioni all’autore della comunicazione. Si prega di considerare che l’analisi, a seconda della complessità della vulnerabilità e al tipo di prodotto, può richiedere alcuni giorni o settimane. Tuttavia, Pilz risponde all’autore della comunicazione entro 15 giorni lavorativi.

2. Definizione delle misure: In base alla gravità della vulnerabilità e ad altre condizioni generali vengono preparati gli aggiornamenti. In caso di vulnerabilità grave Pilz prepara un avviso sulla sicurezza, il cosiddetto Security Advisory. Durante tutto il processo, l’autore viene regolarmente aggiornato sulla situazione.

3. Pubblicazione: Il Security Advisory e le eventuali patch vengono pubblicati in questa sezione e sono disponibili per il download. Per poter eseguire il download è necessario che l’utente abbia precedentemente fatto il login. Se l’utente non dispone ancora di un proprio profilo procedere con la registrazione gratuita. Si precisa che, in base alla gravità della vulnerabilità, vengono rilasciate delle patch, eventualmente solo in virtù del ciclo di release del prodotto.

Security Advisories

Per maggiori informazioni su Industrial Security

Contatti

Pilz ltalia S.r.l. Automazione sicura
Via Trieste, snc
20821 Meda (MB)
Italia

Telefono: +39 0362 1826711
E-mail: info@pilz.it

Supporto tecnico

Telefono: +39 0362 1826711
E-mail: techsupport@pilz.it