Dell 致力於協助客戶將產品的安全漏洞相關風險降至最低。我們的目標是為客戶提供可及時處理漏洞的資訊、指引及風險緩解選項。Dell 產品資安事件應變團隊 (Dell PSIRT) 負責協調會影響 Dell 產品之產品漏洞的回應和揭露事宜。
Dell 積極參與多種社群工作 (英文版),包括資安事件應變小組論壇 (FIRST) (英文版) 和程式碼卓越軟體保障論壇 (SAFECode) (英文版)。我們的流程和程序遵循 FIRST PSIRT 服務框架 (英文版)以及其他標準,包括 ISO/IEC 29147:2018 (英文版) 和 ISO/IEC 30111:2019 (英文版)。
Dell 以客戶安全為首要考量,因此十分重視我們的業界合作夥伴和安全性研究人員、感謝所有對我們安全性措施所做的貢獻,並鼓勵負責且經過協調的揭露行為。我們的目標是確保在揭露 Dell 獨有的漏洞時,能提供補救方法和/或緩解策略,並在補救措施需要第三方廠商協作時與他們合作。
根據本原則,有關新漏洞的所有揭露資訊均視為機密,在這些資訊尚未公告周知前,只應在 Dell 與回報方之間分享,直到有可用的補救方法且已協調好揭露活動為止。
Dell 在調查並驗證回報的漏洞後,會盡最大努力針對 Dell 持續支援的產品,開發並核可適當的補救方法。補救方法可採取下列一或多種形式:
Dell 竭力在商業上合理的最短時間內提供補救方法或修正措施。回應時程取決於多項因素,例如:
Dell 使用通用漏洞評分系統 (英文版)標準 3.1 版 (CVSS v3.1) 來傳達 Dell 產品漏洞的特性。此標準是由 FIRST 維護。
CVSS 評分提供多種量化漏洞嚴重性的方式,並將諸多因素納入考量,包括惡意探索漏洞所需投入的心力,以及漏洞遭惡意探索時可能造成的影響。Dell 會根據評分分數、向量字串和嚴重性定性表現 (即重大、高、中、低) 總結嚴重性的評估影響,如下列分級所示:
嚴重性 | CVSS v3.1 評分 |
重大 | 9.0 – 10 |
高 | 7.0 – 8.9 |
中 | 4.0 – 6.9 |
低 | 0.1 – 3.9 |
請注意,Dell 的漏洞評估、CVSS 評分及/或向量字串通常不會與其他來源提供的相應指標有所差異。如有歧異,Dell 會以 Dell 安全性公告中的資訊作為權威資訊來源。
Dell 會發佈安全性公告、通知及資訊文章,藉此向客戶傳達影響我們產品的安全漏洞資訊。
Dell 完成分析並找到解決方案後,會發佈安全性公告來提供指引或指示,說明客戶可以如何保護自己,並緩解及/或修補漏洞。
安全性公告旨在提供充分的詳細資料以評估漏洞造成的影響,並修補可能會受到影響的產品。然而,為降低惡意使用者利用所提供的資訊,藉此對客戶造成損害的可能性,資料的完整詳細程度可能有限。
在適用情況下,Dell 安全性公告通常會包含下列資訊:
視個案情況而定,Dell 可能會發佈安全性通知以確認公開的已知安全漏洞,並就提供其他資訊的時機 (或場合) 發表聲明或其他指引。
Dell 可能會發佈與安全性相關的資訊文章,分享安全性相關主題的資訊,例如:
您可前往 www.dell.com/support/security(英文版) 查閱 Dell 安全性公告與通知。經驗證後的資訊文章將於此連結中顯示。
如果您在任何 Dell 產品中發現安全漏洞,請儘快向我們回報。對客戶而言,及時發現並回報安全漏洞是降低潛在風險的關鍵。安全性研究人員應透過 Dell Bugcrowd 網站 (英文版)提交產品漏洞報告。 企業和商用產品客戶與合作夥伴應連絡各自的技術支援團隊,以回報在 Dell 產品中發現的任何安全性問題。技術支援團隊、適當的產品團隊及 Dell PSIRT 將共同合作以解決回報的問題,並為客戶提供後續步驟。
無法取得技術支援及/或不想參加錯誤懸賞計畫的業界團體、廠商及其他使用者,應將漏洞報告直接透過電子郵件傳送給 Dell PSIRT。傳輸敏感資訊時,應透過 PGP 和 Dell PSIRT PGP 金鑰將電子郵件訊息和附件加密,您可在此下載這些資源。一旦情況允許,Dell 便會確認您的漏洞披露報告。
在所有情況下,Dell 將努力在收到後三 (3) 個工作天內確認您的漏洞揭露報告,並以三十 (30) 個日曆日或更短的頻率提供有關補救的最新消息。
回報潛在漏洞時,請盡可能包含以下資訊,以協助我們更確實瞭解回報問題的本質與影響範圍:
如果漏洞使您能存取機密或非公開資訊 (包括第三方資料、個人資料或 Dell 標記為「內部使用」、「管制」或「高度管制」的任何資訊),您應僅少量地存取必要的此類資訊,以便將漏洞回報給 Dell。除了提交給 Dell 之外,您不應儲存、傳輸、使用、保留、披露或複製此類資訊。
除非您具有持有者的明確許可,否則也不應參與任何會影響 Dell 系統完整性或可用性的行動。只有在取得概念驗證時,才可執行最低限度的必要作業。如果您在研究期間發現效能下降,或不慎造成違規或中斷情事 (例如存取客戶資料或服務組態),請停止使用任何自動化工具,並立即回報事件。不論任何時候,如果您對於自己的安全性研究是否與本原則一致感到有疑慮或不確定,請先詢問 secure@dell.com 再進一步採取行動。
請透過下列適當連絡人,向 Dell 回報其他類型的安全性問題:
安全性問題 | 連絡資訊 |
若要回報 Dell.com 或其他線上服務、Web 應用程式或財產的安全漏洞或問題, | 請在以下位置提交報告:https://bugcrowd.com/dell (英文版),並附上用以重現問題的逐步說明。 |
如果您懷疑身分遭盜用,或發生與 Dell Financial Services 有關的詐欺交易, | 請參閱 Dell Financial Services 安全性 (英文版)。 |
若要提交隱私權相關要求或問題, | 請參閱 Dell 隱私權 (英文版)。 |
Dell 致力於開誠布公地在安全性公告和相關說明文件中,提供漏洞修補工作的相關資訊,其中可能包括版本資訊、知識庫文章及 FAQ (常見問題)。 Dell 不會分享經過驗證的已知漏洞惡意探索或概念驗證程式碼。此外,根據業界實務,Dell 不會與外部實體分享內部安全性測試的測試結果或概念驗證,或是其他類型的獨享資訊。
Dell 客戶在有關保固、支援及維護方面的權益項目 (包括任何 Dell 軟體產品中的漏洞) 僅受 Dell 與個別客戶間適用之協議的約束。此網頁上的陳述內容並未修改、擴大或以其他方式增補任何客戶權利,亦不構成任何額外的擔保。
此漏洞回應原則的所有層面如有變更,恕不另行通知。我們不保證對任何特定問題或問題類別做出回應。若使用本文件中的資訊或本文件中連結的內容,需由您自行承擔風險。