HCLSoftware 製品のセキュリティインシデントに対応
HCLSoftware PSIRT
HCL Softwareは、すべての製品とサービスの安全性とセキュリティに取り組んでいます。 HCLSoftware 製品セキュリティインシデント対応チーム(PSIRT)は、HCLSoftware 製品に関連するセキュリティの脆弱性の調査と修復の管理に責任をもって対応しています。このページでは、製品のセキュリティの脆弱性を処理するためのポリシーとプロセスについて説明します。
セキュリティの脆弱性を報告する
HCL Softwareは、セキュリティの脆弱性を、攻撃者が製品またはサービスの整合性、可用性、または機密性を危険にさらす可能性のある製品またはサービスの弱点または欠陥として定義しています。
米国連邦政府のお客様の場合は、連邦フリーダイヤル1-855-855-5016または連邦フリーダイヤル1-984-333-9914までお電話ください。 他のすべてのお客様は、のセキュリティケースフォームを使用してください HCLサポートポータル レポートを送信します。 セキュリティ研究者の方は、PSIRT @ hcl.com宛てに電子メールでレポートを送信してください。 を参照してください HCLソフトウェアの脆弱性開示ポリシー 詳細については。
ソフトウェア製品とバージョン、ハードウェアプラットフォーム、複製手順、潜在的な影響、および概念実証(可能な場合)の詳細を含めてください。 これにより、問題を再現し、タイムリーにレポートに対応できるようになります。
分析と修復
脆弱性レポートの確認と分析
を介して脆弱性レポートを送信した場合 HCLカスタマーサポートポータル、HCLSoftware サポートは、2営業日以内にレポートの受信を確認します。 追跡番号は確認メールで提供されます。 提出に関連するすべての以降の電子メール通信の件名に、この追跡番号を含めてください。
脆弱性の修復
アクティブにサポートされている HCLSoftware 製品およびサービスに影響を与えるすべての検証済みセキュリティの脆弱性について、HCLSoftware は修正または回避策を提供します。 修正または回避策を説明するセキュリティ情報は、ナレッジベースに掲載されます。 HCLカスタマーサポート ポータル。
重大度評価
HCL Softwareは、HCL Software製品で報告された潜在的な脆弱性を評価する標準プロセスの一部として、 Common Vulnerability Scoring System(CVSS)のバージョン3.0を使用しています。 CVSSモデルは、ベース、時間、および環境の計算を含む3つの異なる測定値またはスコアを使用します。
HCL Softwareは、基本的な脆弱性スコアの評価を提供し、場合によっては、一時的な脆弱性スコアを提供します。 エンドユーザーは、ネットワークパラメータに基づいて環境スコアを計算することをお勧めします。 3つのスコアすべての組み合わせは、特定の環境に合わせて調整された瞬間を表す最終スコアと見なす必要があります。 組織は、この最終スコアを使用して、独自の環境での応答に優先順位を付けることをお勧めします。
セキュリティ速報
製品のセキュリティ情報およびソフトウェアアップデートに関するアドバイザリまたはセキュリティ情報
対処された脆弱性に関連する情報は、セキュリティアドバイザリまたはセキュリティ速報で公開されます。これらは、ナレッジベースから入手できます。 HCLカスタマーサポート ポータル。" にアクセスして、気になるセキュリティ情報の電子メールによるプッシュ通知にサインアップできます。 HCLPSIRTブログ ページの右側にある1つ以上のトピックを購読します。 HCLサポートナレッジベースでセキュリティ情報を検索することもできます。」
セキュリティ情報は、次の状況で公開されます。
- HCLSoftware のソフトウェアに固有の、または HCLSoftware のソフトウェアに影響を与えると合理的に想定できるオープンソースソフトウェアに影響を与えるセキュリティの問題は、公に報告され、広く利用可能です。 また、サポートされている1つ以上のソフトウェアバージョンで修正プログラムを利用できます。
- HCLSoftware のソフトウェアに影響を与えるセキュリティの問題は、HCLSoftware に非公開で報告されています。 修正は、現在サポートされているソフトウェアバージョンで利用できます。
セキュリティ情報には、該当する場合、次の情報が含まれます。
- 影響を受ける製品とバージョン
- 脆弱性の説明
- 潜在的な影響の評価
- Common Vulnerability Enumerator ID(CVE: http://cve.mitre.org )
- 重大度評価(HCLは、Common Vulnerability ScoringSystemのバージョン3であるCVSSv3を使用します。 https://www.first.org/cvss/user-guide)
- 利用可能なアップデート、修正、または回避策
- 記者の謝辞(該当する場合)
業界の所属
製品のセキュリティ情報およびソフトウェアアップデートに関するアドバイザリまたはセキュリティ情報
対処された脆弱性に関連する情報は、セキュリティアドバイザリまたはセキュリティ速報で公開されます。これらは、ナレッジベースから入手できます。 HCLカスタマーサポート ポータル。" にアクセスして、気になるセキュリティ情報の電子メールによるプッシュ通知にサインアップできます。 HCLPSIRTブログ ページの右側にある1つ以上のトピックを購読します。 HCLサポートナレッジベースでセキュリティ情報を検索することもできます。」
セキュリティ情報は、次の状況で公開されます。
- HCLSoftware のソフトウェアに固有の、または HCLSoftware のソフトウェアに影響を与えると合理的に想定できるオープンソースソフトウェアに影響を与えるセキュリティの問題は、公に報告され、広く利用可能です。 また、サポートされている1つ以上のソフトウェアバージョンで修正プログラムを利用できます。
- HCLSoftware のソフトウェアに影響を与えるセキュリティの問題は、HCLSoftware に非公開で報告されています。 修正は、現在サポートされているソフトウェアバージョンで利用できます。
セキュリティ情報には、該当する場合、次の情報が含まれます。
- 影響を受ける製品とバージョン
- 脆弱性の説明
- 潜在的な影響の評価
- Common Vulnerability Enumerator ID(CVE: http://cve.mitre.org )
- 重大度評価(HCLは、Common Vulnerability ScoringSystemのバージョン3であるCVSSv3を使用します。 https://www.first.org/cvss/user-guide)
- 利用可能なアップデート、修正、または回避策
- 記者の謝辞(該当する場合)
業界の所属
