Linee guida di risposta alle vulnerabilità Symantec

Introduzione

Symantec è impegnata a risolvere con rapidità e precisione le vulnerabilità della sicurezza presenti nei nostri prodotti. Adottiamo le misure necessarie per ridurre al minimo il rischio per gli utenti, fornire informazioni tempestive e distribuire le correzioni e le mitigazioni delle vulnerabilità in grado di affrontare i pericoli per la sicurezza presenti nel software Symantec.

In qualità di uno dei membri fondatori della Organization for Internet Safety (OISafety), Symantec è impegnata a seguire le linee guida sulla Divulgazione responsabile sviluppate dalla OIS e descritte nel documento ISO 29417 per le vulnerabilità segnalate esternamente nei prodotti Symantec. Queste linee guida mirano a stimolare una comunicazione aperta tra scopritori e vendor, chiarire le responsabilità tra le parti e proteggere quanto più possibile le persone, le aziende e l'infrastruttura Internet da qualsiasi exploit. Collaboriamo strettamente con i ricercatori che ci segnalano le vulnerabilità e apprezziamo gli scopritori che seguono il principio della divulgazione responsabile.

Come segnalare una vulnerabilità della sicurezza

Se ritieni di avere individuato una vulnerabilità in un prodotto, in un servizio cloud o nell'infrastruttura IT di Symantec che non è stata risolta, contatta Symantec tramite gli indirizzi di e-mail indicati di seguito:

  • Le segnalazioni di vulnerabilità per prodotti Symantec on-premise devono essere inviate al Symantec Product Security Incident Response Team (PSIRT) all'indirizzo secure@symantec.com.
  • Le segnalazioni di vulnerabilità per i servizi cloud e l'infrastruttura IT di di Symantec devono essere inviati al Symantec GSO Security Operations Center (SOC) all'indirizzo security@symantec.com.

Per accelerare la verifica di qualsiasi scoperta, nella comunicazione iniziale inviata a Symantec è utile fornire le seguenti informazioni:

  • Nome e versione del prodotto o nome del servizio
  • Data in cui è stata notata la vulnerabilità
  • Descrizione della vulnerabilità
  • Istruzioni per replicare la vulnerabilità (possono essere istruzioni passo per passo, un video o una serie di catture dello schermo che descrivono la prova pratica)
  • Nome e azienda (se applicabile)
  • Informazioni di contatto preferenziali (e-mail, telefono, anonimo)
  • La chiave pubblica PGP o GPG per consentire comunicazioni crittografate (se disponibile)

Il Symantec PSIRT confermerà il ricevimento della segnalazione entro tre giorni lavorativi. Lavoreremo con i team interni per verificare la scoperta e rispondere in modo tempestivo con un aggiornamento o una richiesta di ulteriori informazioni.

Dettagli sulla chiave PGP

Invitiamo gli scopritori a utilizzare canali di comunicazione crittografati per proteggere la riservatezza delle segnalazioni di vulnerabilità. La nostra chiave pubblica PGP è disponibile presso il seguente link:

Chiave PGP del PSIRT sicura su symantec.com

Nota: Symantec può scambiare e-mail crittografate utilizzando PGP e GPG

Mitigazione e rimedio della scoperta

Se viene confermata la validità della scoperta inviata, Symantec procederà a fornire un rimedio o una mitigazione del problema in base al tipo, gravità e numero di prodotti o servizi interessati. Il team Symantec PSIRT terrà aggiornato l'autore della segnalazione della vulnerabilità sugli sviluppi fino a quando il problema è stato risolto.

Ulteriori informazioni e divulgazione responsabile

Nel corso della loro attività lavorativa, i dipendenti Symantec possono scoprire una vulnerabilità presente nel prodotto di un altro vendor. Symantec seguirà le linee guida sulla divulgazione responsabile per risolvere la vulnerabilità del vendor coinvolto. Il nostro obiettivo è essere un membro sostenitore e responsabile della comunità di ricerca sulla sicurezza. Apprezziamo il lavoro svolto dagli scopritori per conto nostro e puntiamo a favori canali di comunicazione aperti con i membri della comunità della sicurezza più generale per garantire un ambiente professionale e collaborativo per tutte le parti che operano nell'ambito tecnico più generale.

Conclusione

Nel suo ruolo di leader di mercato nelle tecnologie della sicurezza, Symantec è impegnata ad affrontare e risolvere tutte le vulnerabilità della sicurezza che si manifestano nel nostro software. Collaboreremo con gli scopritori per esaminare, convalidare e mitigare qualsiasi problema di sicurezza che viene individuato e seguiremo le linee guida sulla divulgazione responsabile per rassicurare i nostri clienti.