Biztonság

Nyilvános visszajelzési felület

A biztonsági kutatók értesíthetik az EDIFIER-t az eszközök biztonsági réseiről.

Az Edifier biztonsági osztályának elérhetősége

support@edifier.com

Biztonsági jelentés független biztonsági szakértőtől

Az Edifier együttműködési szerződést írt alá a Security Corporationnel, amely biztonsági tesztjelentést készít az Edifier eszközeiről.

Szoftver sebezhetőség figyelése

Rendszeres és folyamatos nyomon követéssel kövesse nyomon az alábbi weboldalak nyilvános információit

CVE (http://cve.mitre.org/)

NVD (https://nvd.nist.gov/)

CWE (http://cwe.mitre.org/)

Szoftverkarbantartási frissítési stratégia

Figyelje a harmadik féltől származó összetevők verziófrissítését, és frissítse a legújabb verzióra az ismert sebezhetőségek elkerülése érdekében.

A súlyossági biztonsági rések javításait a meglévő frissítések tartalmazzák.

Ha bármilyen sebezhetőséget észlel, frissítse a firmware-t az alábbiak szerint:

1. Az ügyfelek, felhasználók stb. által azonosított sebezhetőségek.

2. A biztonsággal kapcsolatos felülvizsgálati értekezletet haladéktalanul meg kell tartani, és be kell mutatni a megfelelő megoldást. A résztvevőknek különösen biztonsági technológiai menedzsernek, projektfejlesztési vezetőnek, firmware architektúra-menedzsernek és műszaki igazgatónak kell lenniük. A CVSSv2 referenciaszabványként szolgál majd a sérülékenység értékeléséhez és rangsorolásához.

3. A megoldás szerint a fejlesztő végzi el a konkrét megvalósítást.

4. Kód felülvizsgálata. A felülvizsgálóknak ki kell terjedniük a biztonsági technológiai menedzserre és a projektfejlesztésre. 

5. Engedje el a firmware-t.

6. A minőségbiztosítási csapat teszteli a firmware-t. Ha bármilyen probléma adódik, térjen vissza a harmadik lépéshez.

7. Törzságba egyesített kód.

8. A projektmenedzser értesíti az ügyfeleket, hogy frissíteniük kell a szoftvert, és meg kell kapniuk az ügyfél frissítési visszaigazolását.

9. Tegye közzé az OTA for Edifier termékfrissítését.

Biztonsági választerv

Ha biztonsági incidens történik, az incidenst a legmagasabb prioritású sürgős ügyként kell kezelni. A vezérigazgatónak és a műszaki igazgatónak tisztában kell lennie ezzel az incidenssel, és részt kell vennie az incidensek kezelésében. Ha az incidens szoftverkarbantartási probléma, akkor azt a jelen dokumentumban található „Szoftverkarbantartási frissítési stratégia” folyamata szerint kezeljük. Azonnal háromoldalú ülést kell tartani. A résztvevők az Edifier, az OEMS. Az értekezleten információkat kell gyűjteni, tisztázni kell a baleset helyzetét, valamint az incidens helyreállításának becsült ütemezését. Ha különleges, jelentős hatású incidens történik, az Edifier megbeszéli az ügyféllel a kárelhárítási határidőket.