凭借我们已实施的各项措施,一旦欧盟网络韧性法案生效,METTLER TOLEDO 有信心其产品将符合该法案要求。有关更详细的信息,请参阅此处链接的客户声明 这里,或访问我们的EU CRA 合规页面。
此外,METTLER TOLEDO 安全开发生命周期提供了一个稳健的框架,确保网络安全成为我们产品开发流程中不可或缺的一部分。
数据泄露、数据窃取以及其他安全威胁经常占据当今头条,凸显了强大网络安全协议的关键重要性。
在 METTLER TOLEDO,我们致力于提供高质量的解决方案,并高度重视安全。我们的全面产品安全策略保护整个测量和过程链,从精密传感器和分析仪器,到安全的工业网关和控制系统,再到企业数据管理平台。
我们的网络安全管理体系依据全球 IEC 62443 标准进行设计,这些标准针对通用的运营技术(OT)以及尤其是工业自动化和控制系统的安全要求。查看 METTLER TOLEDO 的流程能力评估网络安全证书。
凭借我们已实施的各项措施,一旦欧盟网络韧性法案生效,METTLER TOLEDO 有信心其产品将符合该法案要求。有关更详细的信息,请参阅此处链接的客户声明 这里,或访问我们的EU CRA 合规页面。
此外,METTLER TOLEDO 安全开发生命周期提供了一个稳健的框架,确保网络安全成为我们产品开发流程中不可或缺的一部分。
在 METTLER TOLEDO,我们认为网络安全的范围不仅限于产品设计;我们会在产品的整个生命周期中考虑安全因素。
但我们也认识到,要预见我们产品的每一种潜在使用场景或误用情况是具有挑战性的。因此,我们承认并非所有漏洞都能在安全开发生命周期中被识别出来。

我们的目标是实现并维护 METTLER TOLEDO(MT)产品和解决方案的高安全性与高韧性。
为实现这一目标,与安全社区保持积极对话——包括客户、集成商、最终用户和安全专家——对于持续改进和创新至关重要。
METTLER TOLEDO 也参与了多个有关网络安全主题的委员会和工作组,例如 CEN/CENELEC 和 VDMA。
这使我们能够作为值得信赖的合作伙伴,在客户迈向数字世界的旅程中为其提供支持。
METTLER TOLEDO PSIRT 是一个中央跨学科团队,负责管理 MT 产品和解决方案中的潜在安全漏洞。MT 感谢所有转达给我们专家的、关于潜在缺陷、弱点或漏洞的反馈。
METTLER TOLEDO PSIRT 会与所有相关人员,包括内部和外部人员,协调并保持沟通,以便对任何已识别的安全相关问题采取适当的应对措施。
我们诚挚邀请所有人——无论您是否是 METTLER TOLEDO 客户——分享您对所有 MT 产品和解决方案的宝贵反馈!您的见解对我们至关重要。我们向您保证,所有数据,尤其是个人信息,都将受到最高程度的保密处理,且无需签署保密协议。
通过报告漏洞,您在帮助我们改进产品方面发挥着重要作用。这使我们能够及时处理这些问题,并让客户了解缓解措施、解决方法和修复方案。这种协作方式使我们能够增强 MT 产品和解决方案的稳健性与可靠性,最终帮助我们的客户有效管理安全风险。
我们强烈鼓励每个人报告与 MT 产品或解决方案相关的任何安全漏洞。提供全面、准确且详细的信息,有助于我们的产品安全事件响应团队(PSIRT)更高效、更有效地做出响应。
为方便您联系,MT 提供两种简单的方式与我们取得联系。
1. 发送电子邮件至 psirt@mt.com
2. 通过我们的合作伙伴 CERT@VDE 间接提交:https://cert.vde.com/helper/reportvuln/
上述两种沟通渠道的监控时间为周一至周五 8:00 至 17:00(CET)。
首选语言为英语。
METTLER TOLEDO 会确保该报告被提供给必要的专业人员,以便他们处理所述问题。报告的访问权限仅限 MT 员工,确保任何外部人员都无法查看。
此外,除非报告方特别要求披露其信息,否则 MT 承诺对报告方的联系信息保密。
METTLER TOLEDO PSIRT 是一个中央跨学科团队,将全面审查所报告漏洞对 MT 产品和解决方案的影响及相关性。
通常,所报告漏洞的接收确认会在两个工作日内完成。感谢您为提升 MT 产品的安全性所做的贡献!
在 METTLER TOLEDO,处理安全问题通常需要将我们的安全与防护开发流程与行业要求保持一致,这可能会影响缓解措施或修复的实施时间。感谢您在此过程中的耐心;如您愿意,我们将与报告方保持密切沟通。
由于许多 MT 组件和系统与客户的基础设施高度集成,我们请报告方在披露任何信息时与我们协调。这可确保在适当的缓解措施、临时解决方案或实际修复到位之前,信息不会过早发布。
感谢您的理解与合作!
对于被评为严重或高风险的漏洞,METTLER TOLEDO 将申请 CVE(通用漏洞披露)编号,安全通告将发布在我们的合作伙伴平台 CERT@VDE 上。对于被评为中等和低风险的漏洞,相关信息将包含在下一产品版本的发行说明中。
客户可以选择注册 RSS/Atom 订阅源,或直接在 CERT@VDE 上查看 MT 产品和解决方案的相关信息。
在极端情况下,例如功能安全受到威胁时,我们会尽快直接联系受影响的客户。我们会认真评估每个漏洞,并遵循负责任披露政策。在少数情况下,METTLER TOLEDO 也可能对不影响 MT 产品和解决方案的漏洞发表评论。
通告提供与漏洞相关的事实和历史记录,确保客户和利益相关方充分了解情况。
· 个人联系方式(姓名、组织、电子邮件、电话、国家/地区)
· 漏洞描述(影响、复现方法、日志文件、pcap、CWE-ID,如有可提供 CVE-ID)
· 受影响产品名称
· 受影响产品的软件版本
· 受影响产品的序列号
· 其他意见
· 披露情况(您是否计划披露,或该漏洞是否已披露?)
· 我们可以或应该联系您吗?
在 METTLER TOLEDO,我们完全支持开源软件作为数字化转型关键组成部分的理念。
我们的承诺是在积极为这一协作生态系统做出贡献的同时,让客户、员工以及更广泛的社区受益。
如果您对 METTLER TOLEDO 的开源使用和许可证管理有任何疑问,请联系我们的开源合规官(OSCO),邮箱为 osco@mt.com.
开源软件(OSS)使权利持有人能够通过“开源”或“自由软件”许可证,在灵活条件下允许软件的使用、分析、修改、复制和分发。
这些许可证符合版权法,在尊重原作者权利的同时,实现了不受限制的使用和灵活的分发。这个框架孕育了充满活力的开发者和用户社区,促进了协作与知识共享。
因此,许多软件功能已趋于商品化,使企业能够专注于自身独特的产品,同时借助开源解决方案实现库等通用功能。
我们了解开源在推动软件重用方面所发挥的重要作用,在当今日益数字化的世界中,这对我们负责任地管理资源的努力至关重要。