我们准备与个体研究人员、ICS-CERT、安全情报收集机构、客户和现场人员真诚合作,他们可能会发现并提交有关我们产品的漏洞报告。可以在“报告问题”页面上报告漏洞。
伊顿同意不针对以下个人采取法律行动:
我们按照内部风险评估流程接受并确认接收漏洞信息,进行初步分析,并对报告的漏洞进行初始评级。对于第三方软件库中任何外部报告的漏洞,我们运用 CVSS v3 漏洞评分方法对其进行风险评级,因为该方法适用于受影响的伊顿产品及其部署环境。任何 CVSS 总体评分为 7.0 及以上或被 CCoE 视为高安全风险的漏洞都将优先得到解决。
伊顿负责修复当前受支持产品上发现的漏洞。CCoE 团队与产品团队合作,根据指定的优先级修复漏洞。估计问题修复的大致时间表,并将其传达给漏洞报告人员(即,个体研究人员、ICS-CERT 或其他机构)。 在此阶段,CCoE 团队担当外部实体的单点联系人,并与内部团队合作以修复和测试漏洞。 在此期间,我们将努力解决问题,同时可能还需要与报告方保持沟通。
伊顿通过受影响产品的标准分销渠道发布漏洞修复方案。与修复方案相关的详细技术信息将作为伊顿产品安全公告发布。
伊顿更愿意与漏洞研究人员协调披露事宜,并希望漏洞研究人员在双方商定的时间范围到期之前不要向公众披露漏洞详细信息。
有关安全漏洞的信息在我们的“网络安全通知”页面上公开发布。此页面是伊顿产品安全公告的中央存储库,涉及所有伊顿电气产品。伊顿建议客户关注此门户网站,了解最新的安全公告。
确定实际的解决方案或修复方案后,我们会针对已验证的漏洞发出安全公告。也有可能在没有解决方案的情况下发出公告。因为每个安全漏洞都不同,所以我们可能会采取与发布安全公告相关的其他行动。
伊顿不保证将针对客户可能认为重大的任何或所有安全问题发布安全公告,也不保证将在任何特定时间发布安全公告。
伊顿设立了表彰大厅,用于充分表彰安全研究人员的贡献,他们按照此政策报告产品网络安全漏洞。