Commend International nimmt die Sicherheit seiner Produkte und Dienstleistungen sehr ernst, und wir schätzen den Beitrag der Security Community sehr. Der koordinierte Prozess der Offenlegung von Sicherheitsschwachstellen hilft uns, die Sicherheit und den Schutz der Privatsphäre unserer Kunden und Nutzer zu gewährleisten.
Dieses Dokument beschreibt unsere Richtlinien für die Annahme von Sicherheitsmeldungen von unseren Kunden, externen Sicherheitsexperten sowie für die Offenlegung von Sicherheitsschwachstellen, die bei Commend International festgestellt wurden. Wir freuen uns über alle Meldungen von Sicherheitsschwachstellen gemäß dieser Richtlinien.
Sicherheit und Datenschutz beruhen auf Vertrauen. Die Menschen werden Lösungen und Dienste nur dann akzeptieren und nutzen, wenn sie vertrauenswürdig sind.
Weitere Informationen
Leitlinien
Commend International setzt voraus, dass alle Teilnehmer:
- die Privatsphäre und die Sicherheit anderer respektieren
- den klar definierten Anwendungsbereich respektieren
- sicherstellen, dass alle Tests legal und genehmigt sind
- sich ausreichend bemühen, das Sicherheitsteam von Commend International zu kontaktieren
- ausreichende Informationen bereitstellen, damit wir die festgestellte Schwachstelle reproduzieren und überprüfen können
Commend International bietet allen Teilnehmern:
- Kontaktadresse für die Meldung von Schwachstellen
- eine angemessene Reaktionszeit für eingehende Meldungen
- einen klar definierten Geltungsbereich für unser Produktportfolio
- keine rechtlichen Schritte im Zusammenhang mit Ihrer Recherche einzuleiten
- eine offene und respektvolle Kommunikation mit allen Teilnehmern
- eine Veröffentlichung von Commend Security Advisories (CSA) und Änderungsprotokollen
- eine Anerkennung im veröffentlichten Commend Security Advisory
Melden von Schwachstellen
Commend International appreciates all efforts of security researchers that support us with detailed information about security vulnerabilities within our products and services. It is essential to us to have sufficient details in the initial report such that we are able to understand the full impact of the reported vulnerability. Our security team is pleased to verify and reproduce the reported vulnerability in a reasonable timeline. Hence, we will respond within 15 days.
Initial report should include:
- Sufficient details of the vulnerability to allow it to be understood and reproduced
- Expected impact of the vulnerability
- Proof of concept code, script, screenshot (if available)
- Any reference or further reading that may be appropriate (if available)
- Recommendation on how the issue could be mitigated or resolved (if available)
Koordinierter Offenlegungsprozess
Commend International nimmt die Sicherheit seiner Systeme ernst. Ein koordinierter Offenlegungsprozess ist unerlässlich, um unsere Kunden vor jeglichen Bedrohungsakteuren zu schützen. Ein Schwachstellenbericht ist der erste Schritt. Diese Aktion erstellt intern ein Ticket der Sicherheitsschwachstelle, das von unserem Sicherheitsteam überprüft wird. Die erste Überprüfung führt zu einem ersten Entwurf einer Auswirkungsanalyse, die in einen Schweregrad gemäß dem Common Vulnerability Scoring System (CVSS) mündet. Die Mitglieder unseres Security Board legen die nächsten Schritte für jede gemeldete Schwachstelle fest. Danach setzen wir uns erneut mit dem Sicherheitsexperten in Verbindung und informieren ihn über den Plan zur Behebung der Schwachstelle, mögliche Gegenmaßnahmen oder Lösungsmöglichkeiten. Obwohl dies für eine einfache Behebung ausreichen kann, gibt es komplexere Schwachstellen, die eine fortlaufende Diskussion zur Klärung zwischen unserem Sicherheitsteam, den beteiligten Entwicklern und dem meldenden Sicherheitsexperten erfordern. Wir freuen uns über eine offene und respektvolle Kommunikation sowie über Empfehlungen, wie das Problem entschärft oder behoben werden kann. Unser Ziel ist es, eine kritische oder hoch eingestufte Schwachstelle in einem angemessenen Zeitraum durch einen Sicherheitspatch zu beheben oder, falls dies nicht möglich ist, im Rahmen der nächsten offiziellen Veröffentlichung. Als letzter Reaktionsschritt wird der Zeitplan für die Veröffentlichung eines Commend Security Advisory (CSA) bekannt gegeben. Daher versuchen wir, eine gemeldete Schwachstelle zu beheben und die Informationen innerhalb von 90 Tagen zu veröffentlichen.
Alle Kunden und Sicherheitsexperten sind eingeladen, sich für unser Commend Security Advisory Program zu registrieren:
https://clibrary-online.commend.com/en/cyber-security/security-advisories.html
Das ist der Inhalt eines veröffentlichten Commend Security Advisory:
- Zusammenfassung der Schwachstellenmeldung
- Betroffene Produkte
- Software Updates
- Abhilfemaßnahmen oder Abschwächung
- Ausnutzungsmöglichkeiten und öffentliche Bekanntmachungen
- Anerkennung
- Quellen
- Kontakt und koordinierte Offenlegung
- Änderungsprotokoll
Abgedecktes Produktportfolio
- Symphony Cloud Services
https://commend.services - Symphony VirtuoSIS Server
- Symphony Geräte
- Commend Studio