Jsme připraveni v dobré víře spolupracovat s individuálními průzkumníky, centrem ICS-CERT, agenturami, které shromažďují informace o sledování bezpečnosti, zákazníky a pracovníky v terénu, kteří mohou zjistit a odesílat zprávy o chybách našich produktů. Chyby lze oznamovat prostřednictvím stránky pro oznamování problémů.
Společnost Eaton se zavazuje nepodnikat žádná legislativní opatření proti osobám, které:
Dodržujeme proces interního hodnocení rizik k přijetí a potvrzení přijetí informací o chybách, podnikáme předběžnou analýzu a přiřazujeme počáteční hodnocení nahlášené chyby. V případě externě oznámené chyby zabezpečení v knihovnách softwaru třetí strany přiřazujeme hodnocení rizik pomocí metody stanovení skóre chyby CVSS v3 tak, jak se vztahuje k ovlivněnému produktu Eaton a jeho kontextu nasazení. Jakékoli chyby zabezpečení, jejichž celkové skóre CVSS je 7,0 a vyšší, které jsou CCoE považovány za vysoké bezpečnostní riziko, budou řešeny podle priority.
Společnost Eaton napraví chyby zabezpečení získané v aktuálně podporovaných produktech. Tým CCoE ve spolupráci s produktovým týmem zajistí nápravu chyby podle přidělené priority. Osobám vykazujícím chybu (například jednotliví výzkumníci, ICS-CERT nebo jiné agentury) je sdělen odhadnutý čas opravy problému. Během této fáze tým CCoE působí jako jeden kontaktní bod pro externí entity a spojí se s interními týmy pro zajištění opravy a testování chyby. Během této doby může být udržována komunikace s ohlašující stranou při řešení problému.
Společnost Eaton vydává nápravy/opravy chyb prostřednictvím standardního distribučního kanálu ovlivněných produktů. Podrobné technické informace související s opravami jsou vydány jako bezpečnostní poradenství pro produkty Eaton.
Společnost Eaton dává přednost spojení se s osobami oznamujícími chybu, aby mohla provést koordinované zpřístupnění, a očekává, že se osoby zkoumající chyby zabezpečení zdrží vyzrazení podrobností o chybě veřejnosti před uplynutím vzájemně odsouhlaseného časového rámce.
Veřejné vydání informací souvisejících s chybami zabezpečení je na naší stránce pro oznámení kybernetického zabezpečení. Tato stránka je centrálním úložištěm pro poradenství v oblasti bezpečnosti produktů Eaton související se všemi elektrickými produkty. Doporučujeme zákazníkům, aby se na tento portál vraceli, pokud chtějí mít přehled o nejnovějším poradenství.
Naším záměrem je vydávat bezpečnostní poradenství pro ověřené chyby zabezpečení, když nalezneme praktické řešení nebo opravu. Mohou se objevit případy, kdy je vydáno poradenství, pokud chybí řešení. Vzhledem k tomu, že zjištěné chyby zabezpečení nejsou stejné, můžeme v souvislosti s vydáním bezpečnostního poradenství provést alternativní akce.
Společnost Eaton nezaručuje, že bude bezpečnostní poradenství vydáváno pro všechny problémy zabezpečení, které mohou zákazníci považovat za významné nebo že bude poradenství vydáváno v konkrétním časovém úseku.
Společnost Eaton provozuje síň slávy pro řádné ocenění přispěvatelů z řad osob provádějících výzkum chyb, kteří nahlásí chyby kyberzabezpečení produktů v souladu s těmito zásadami.