Elekta协同漏洞公开声明
Elekta致力于确保我们开发和提供的癌症治疗产品的安全性和安全性。雷竞技下载二维码Elekta欢迎安全研究人员和我们的客户(“提交者”)提供的无价贡献。此协调漏洞披露策略旨在确保产品安全漏洞的报告和处理过程是负责和精简的。
范围
此声明适用于所有支持的Elekta产品和解决方案。Elekta与提交人合作的目标应该始终是减少医疗保健解决方案中受到任何发现的漏洞影响的风险和患者安全。
法律信息
Elekta将不会为那些在本政策中描述的善意和遵守协调指示和指导方针的人寻求法律行动,包括遵守所有适用的法律。
与Elekta交流
为确保在两个方向的披露均能得到妥善处理,提交人应遵守以下指示:
- 提交英文报告至productsecurity@elekta.com。
- 使用我们的PGP公钥可在此网页上加密任何电子邮件提交。
- 向我们提供有关安全问题或漏洞的详细技术信息,包括
- 特定的测试产品,包括产品名称和版本号
- 技术基础设施测试,包括操作系统和版本;以及任何相关的附加信息,比如网络细节
- 对于基于web的产品,测试日期和时间、url、浏览器类型和版本,以及提供给应用程序的输入
- 所发现漏洞的详细信息、发现漏洞的方式、影响和任何可能的补救措施
- 任何表明这个漏洞被利用的证据
- 任何可以帮助Elekta验证问题的附加信息,包括用于测试的工具
- 请勿在您提供给Elekta的任何截图或其他文件或内容中包含敏感信息(与漏洞细节相关的信息除外)。
- 如果提交者涉及ICS-CERT, CERT/CC,相关监管机构,或其他适当的方,共享该信息连同提供的任何跟踪号码。
- 提供包括概念验证代码的报告,以允许Elekta更好地分类。
Elekta责任
一旦我们收到报告,艾丽卡将:
- 在三(3)个工作日内确认收到。
- 为您的报告提供一个唯一的跟踪号码。
- 对潜在的发现进行初步评估,以确定准确性、升级需求和产品组升级到的程度。
- 如果需要建立漏洞,请求提供更多信息
- 让你了解你的报告的情况
- 如果该漏洞是属于我们产品的第三方组件,我们将向该第三方提交报告,并通知您该通知。在您同意的情况下,请向第三方分享您的联系方式。
- 在验证漏洞后,制定解决方案
- 对决议执行QA/验证测试
- 使用现有流程来管理补丁或安全修复的发布,这可能包括直接通知客户或发布安全建议
- 如果要求,如果报告结果是公开发布的修复或交流,提供研究人员的公众认可。
- 如有必要或我们无法解决通讯问题或其他问题,Elekta可能会引入中立第三方(如CERT/CC、DHS-ICS-CERT或相关监管机构)协助确定处理漏洞的最佳方法。
对提交者的期望是什么?
通过这个声明,Elekta希望提交人坚持以下指导方针。
- 永远不要对用于病人护理、病人诊断或监视的活动环境执行任何测试(或黑客攻击)(使用测试或开发环境执行漏洞测试)
- 遵守所有适用的法律法规
- 使用社会工程获得系统访问权
- 不要访问、修改或删除您没有法律控制的任何帐户或系统中的任何数据
- 不要利用你所发现的漏洞或任何问题;不要采取任何不成比例或非法的行动,包括在系统中建立后门
- 我们要求您与Elekta合作,为已发现的漏洞信息选择公开发布日期,以尽量减少公共安全、隐私和安全风险的可能性
- 在双方商定的时限到期前,避免向公众披露漏洞细节。如有任何披露计划,请在公开披露前告知我们。
与Elekta共享的任何信息都可以以Elekta认为合适的任何方式使用。提交任何信息并不会给提交者带来任何权利,也不会给Elekta带来任何义务。
