跳至主要內容
登出

歡迎來到 Dell

我的帳戶
  • 簡單快速地下訂單
  • 檢視訂單及追蹤商品運送狀態
  • 建立並存取您的產品清單
  • 使用「公司管理」來管理您的 Dell EMC 網站、產品和產品層級連絡人。
登入 建立帳戶 Premier 登入 合作夥伴計畫登入
與我們連絡

您的 Dell.com 購物車

Dell 漏洞回應原則

簡介

Dell 致力於協助客戶將產品的安全漏洞相關風險降至最低。我們的目標是為客戶提供可及時處理漏洞的資訊、指引及風險緩解選項。Dell 產品資安事件應變團隊 (Dell PSIRT) 負責協調會影響 Dell 產品之產品漏洞的回應和揭露事宜。

Dell 積極參與多種社群工作 (英文版),包括資安事件應變小組論壇 (FIRST) (英文版) 和程式碼卓越軟體保障論壇 (SAFECode) (英文版)。我們的流程和程序遵循 FIRST PSIRT 服務框架 (英文版)以及其他標準,包括 ISO/IEC 29147:2018 (英文版) 和 ISO/IEC 30111:2019 (英文版)。

處理漏洞報告

Dell 以客戶安全為首要考量,因此十分重視我們的業界合作夥伴和安全性研究人員、感謝所有對我們安全性措施所做的貢獻,並鼓勵負責且經過協調的揭露行為。我們的目標是確保在揭露 Dell 獨有的漏洞時,能提供補救方法和/或緩解策略,並在補救措施需要第三方廠商協作時與他們合作。

根據本原則,有關新漏洞的所有揭露資訊均視為機密,在這些資訊尚未公告周知前,只應在 Dell 與回報方之間分享,直到有可用的補救方法且已協調好揭露活動為止。

漏洞修補

Dell 在調查並驗證回報的漏洞後,會盡最大努力針對 Dell 持續支援的產品,開發並核可適當的補救方法。補救方法可採取下列一或多種形式:

  • 由 Dell 封裝之受影響產品的新版本。
  • Dell 提供的修補程式,可直接安裝在受影響的產品上。
  • 第三方廠商提供之更新或修補程式的下載及安裝指示 (用以修補漏洞)。
  • Dell 發佈的修正程序或因應措施,可為使用者提供修補漏洞的可行措施。

Dell 竭力在商業上合理的最短時間內提供補救方法或修正措施。回應時程取決於多項因素,例如:

  • 漏洞嚴重性
  • 漏洞複雜度
  • 受影響範圍
  • 補救措施的效果/影響
  • 產品生命週期

Dell 如何為漏洞嚴重性和影響評分

Dell 使用通用漏洞評分系統 (英文版)標準 3.1 版 (CVSS v3.1) 來傳達 Dell 產品漏洞的特性。此標準是由 FIRST 維護。

CVSS 評分提供多種量化漏洞嚴重性的方式,並將諸多因素納入考量,包括惡意探索漏洞所需投入的心力,以及漏洞遭惡意探索時可能造成的影響。Dell 會根據評分分數、向量字串和嚴重性定性表現 (即重大、高、中、低) 總結嚴重性的評估影響,如下列分級所示:

嚴重性

CVSS v3.1 評分

重大

9.0 – 10

7.0 – 8.9

4.0 – 6.9

0.1 – 3.9

Dell 建議所有客戶運用這些資訊來計算可能與其環境有關的環境指標,以準確評估他們資產或導入 Dell 產品所獨有的風險。

請注意,Dell 的漏洞評估、CVSS 評分及/或向量字串通常不會與其他來源提供的相應指標有所差異。如有歧異,Dell 會以 Dell 安全性公告中的資訊作為權威資訊來源。

對外通訊

Dell 會發佈安全性公告、通知及資訊文章,藉此向客戶傳達影響我們產品的安全漏洞資訊。

Dell 完成分析並找到解決方案後,會發佈安全性公告來提供指引或指示,說明客戶可以如何保護自己,並緩解及/或修補漏洞。

安全性公告旨在提供充分的詳細資料以評估漏洞造成的影響,並修補可能會受到影響的產品。然而,為降低惡意使用者利用所提供的資訊,藉此對客戶造成損害的可能性,資料的完整詳細程度可能有限。

在適用情況下,Dell 安全性公告通常會包含下列資訊:

  • 整體影響,其為嚴重性 (即重大、高、中、低) 的文字表示,按照 CVSS 嚴重性定性嚴重性等級評分量表,為所有已知漏洞評定最高 CVSS 基本分數。
  • 受影響的產品與版本。
  • 所有已知漏洞的 CVSS 基本分數與向量。
  • 所有已知漏洞的通用漏洞披露 (英文版) (CVE) 識別碼,以便在各種漏洞管理功能 (例如漏洞掃描程式等工具、存放庫及服務) 中共用每個不重複漏洞的資訊。
  • 漏洞的簡短說明與遭到惡意探索後的潛在影響。
  • 含有更新/因應措施資訊的補救方法詳細資料。
  • 漏洞類別資訊:
    • 專屬代碼:Dell 開發的硬體、軟體或韌體。
    • 第三方元件:硬體、軟體或韌體,可經由套裝 Dell 產品自由分發,或以其他方式納入 Dell 產品中。
  • 其他適用的參考資料。

視個案情況而定,Dell 可能會發佈安全性通知以確認公開的已知安全漏洞,並就提供其他資訊的時機 (或場合) 發表聲明或其他指引。

Dell 可能會發佈與安全性相關的資訊文章,分享安全性相關主題的資訊,例如:

  • 推出全新安全性強化功能。
  • 產品專屬的安全性設定指南與最佳實務。
  • 第三方元件中的安全漏洞 (由漏洞掃描工具識別,但無法從指定產品中加以利用)。
  • 套用特定安全性更新的安裝指示。
  • 相關資訊,說明安全性更新在滿足非 Dell 產品共同條件與先決條件下的效果,以及其可能對 Dell 產品產生的影響。

您可前往 www.dell.com/support/security(英文版) 查閱 Dell 安全性公告與通知。經驗證後的資訊文章將於此連結中顯示。

如何回報安全漏洞

如果您在任何 Dell 產品中發現安全漏洞,請儘快向我們回報。對客戶而言,及時發現並回報安全漏洞是降低潛在風險的關鍵。安全性研究人員應透過 Dell Bugcrowd 網站 (英文版)提交產品漏洞報告。  企業和商用產品客戶與合作夥伴應連絡各自的技術支援團隊,以回報在 Dell 產品中發現的任何安全性問題。技術支援團隊、適當的產品團隊及 Dell PSIRT 將共同合作以解決回報的問題,並為客戶提供後續步驟。

無法取得技術支援及/或不想參加錯誤懸賞計畫的業界團體、廠商及其他使用者,應將漏洞報告直接透過電子郵件傳送給 Dell PSIRT。傳輸敏感資訊時,應透過 PGP 和 Dell PSIRT PGP 金鑰將電子郵件訊息和附件加密,您可在此下載這些資源。一旦情況允許,Dell 便會確認您的漏洞披露報告。

在所有情況下,Dell 將努力在收到後三 (3) 個工作天內確認您的漏洞揭露報告,並以三十 (30) 個日曆日或更短的頻率提供有關補救的最新消息。

回報潛在漏洞時,請盡可能包含以下資訊,以協助我們更確實瞭解回報問題的本質與影響範圍:

  • 包含可疑弱點/漏洞的產品名稱和版本。
  • 重現問題的環境或系統資訊 (例如:產品型號、作業系統版本及其他相關資訊)。
  • 通用弱點列舉 (CWE) 和類型,以及/或漏洞類別 (例如:跨網站指令碼、緩衝區溢位、阻斷服務、遠端程式碼執行)。
  • 用以重現漏洞的逐步說明。
  • 概念驗證或惡意探索程式碼。
  • 漏洞可能造成的影響。

研究人員行為指導方針

如果漏洞使您能存取機密或非公開資訊 (包括第三方資料、個人資料或 Dell 標記為「內部使用」、「管制」或「高度管制」的任何資訊),您應僅少量地存取必要的此類資訊,以便將漏洞回報給 Dell。除了提交給 Dell 之外,您不應儲存、傳輸、使用、保留、披露或複製此類資訊。

除非您具有持有者的明確許可,否則也不應參與任何會影響 Dell 系統完整性或可用性的行動。只有在取得概念驗證時,才可執行最低限度的必要作業。如果您在研究期間發現效能下降,或不慎造成違規或中斷情事 (例如存取客戶資料或服務組態),請停止使用任何自動化工具,並立即回報事件。不論任何時候,如果您對於自己的安全性研究是否與本原則一致感到有疑慮或不確定,請先詢問 secure@dell.com 再進一步採取行動。

通知 Dell 其他安全性問題

請透過下列適當連絡人,向 Dell 回報其他類型的安全性問題:

安全性問題

連絡資訊

若要回報 Dell.com 或其他線上服務、Web 應用程式或財產的安全漏洞或問題,

請在以下位置提交報告:https://bugcrowd.com/dell, (英文版)並附上用以重現問題的逐步說明。

如果您懷疑身分遭盜用,或發生與 Dell Financial Services 有關的詐欺交易,

請參閱 Dell Financial Services 安全性 (英文版)。

若要提交隱私權相關要求或問題,

請參閱 Dell 隱私權 (英文版)。

限制

Dell 致力於開誠布公地在安全性公告和相關說明文件中,提供漏洞修補工作的相關資訊,其中可能包括版本資訊、知識庫文章及 FAQ (常見問題)。  Dell 不會分享經過驗證的已知漏洞惡意探索或概念驗證程式碼。此外,根據業界實務,Dell 不會與外部實體分享內部安全性測試的測試結果或概念驗證,或是其他類型的獨享資訊。

客戶權益項目:保固、支援及維護

Dell 客戶在有關保固、支援及維護方面的權益項目 (包括任何 Dell 軟體產品中的漏洞) 僅受 Dell 與個別客戶間適用之協議的約束。此網頁上的陳述內容並未修改、擴大或以其他方式增補任何客戶權利,亦不構成任何額外的擔保。

免責聲明

此漏洞回應原則的所有層面如有變更,恕不另行通知。我們不保證對任何特定問題或問題類別做出回應。若使用本文件中的資訊或本文件中連結的內容,需由您自行承擔風險。