洋川集团漏洞处理策略

目标策略

本政策的目的是向客户、计算机应急响应队(CERT)组织、销售商、研究人员和其他利益攸关方解释Yokogawa集团处理漏洞及其过程的基本政策洋川集团致力于根据本政策应对产品中的漏洞
Yokogawa集团表示由衷感谢利益攸关方协作减轻漏洞风险,即网络攻击弱点,以确保客户资产安全

基础策略

洋川集团应努力支持确保客户资产安全,同时确认持续风险评估和对网络威胁采取措施是客户资产管理最重要的任务之一。
关于漏洞处理问题,Yokogawa集团将提供有关产品漏洞的信息和对策,以支持客户管理相关风险

过程

处理漏洞过程由下文描述的四个步骤组成

开工接受信息

洋川集团接受任何一方关于产品漏洞的信息通常,小组将在一或二个工作日内联系报告人接受脆弱信息Group可能要求提供补充信息
请报告下列漏洞信息:
https://contact.yokogawa.com/cs/gw?c-id=000983

基于协调脆弱度披露概念(CVD*3),Yokogawa集团请求报告者事先向Yokogawa集团或CERT组织报告发现的脆弱度

二叉漏洞调查

洋川集团将调查受漏洞影响的产品,集团将与报告者分享结果它将评分常见脆弱度标定系统下脆弱度(CVSS)(*4)。

3级准备反制

洋川集团将考虑采取下列对策并按脆弱程度准备
修复:补丁、修复、升级和类似消除或减轻脆弱
工作变通性:行动等旨在减少利用漏洞攻击的影响

4级信息提供

洋川集团将向客户提供洋川安全咨询报告,其中包括漏洞信息在此之前,它将协调YSAR内容和提供时间与记者和CERT组织协调
YSAR内容
YSAR将包括下列信息
描述漏洞
产品及其版本受漏洞影响
CVE标识
强度水平(按CVSS排序)
细节对策
信息报告者(如果报告者同意)
联系查询
提供YSAR方法
Yokogawa集团将以下列方式提供YSAR
洋川集团网站披露
//www.liqingjz.com/library/resources/white-papers/yokogawa-security-advisory-report-list/
- 按照单个产品维护服务协议提供信息
时间提供YSAR
横川集团原则上在准备提供补救后提供资讯。然而,它将考虑在准备提供工作变通时提供资讯,以备需要快速向客户提供信息时使用,例如已发现攻击利用漏洞

5级CVE标识

Yokogawa集团可分配CVE识别漏洞,供CVE编号局产品使用

---

接受并发布漏洞信息并发布报警的组织,如JPCERT/CC、CERT/CC和CISA
(*2)//www.liqingjz.com/solutions/products-platforms/
发现新漏洞的发现者先向销售商或CERT组织私下直接披露,然后让销售商在漏洞信息披露前准备对策概念意指每个利害相关方合作将产品用户盈利作为首要考量
引用 :https://blogs.technet.microsoft.com/msrc/2010/07/22/announcing-coordinated-vulnerability-disclosure/
系统评价显示脆弱程度从0.0至10.0
引用:常见脆弱区划分系统https://www.first.org/cvss/
CVE系统
https://www.cve.org/About/Overview

---

联系人查询

查询漏洞处理时,请按下地址联系
https://contact.yokogawa.com/cs/gw?c-id=000498

修改历史

2018年11月20日:建立
2023年10月25日:加5CVE识别码