为什么应该报告漏洞?

我们诚挚邀请所有人——无论您是否是 METTLER TOLEDO 客户——分享您对所有 MT 产品和解决方案的宝贵反馈!您的见解对我们至关重要。我们向您保证,所有数据,尤其是个人信息,都将受到最高程度的保密处理,且无需签署保密协议。

通过报告漏洞,您在帮助我们改进产品方面发挥着重要作用。这使我们能够及时处理这些问题,并让客户了解缓解措施、解决方法和修复方案。这种协作方式使我们能够增强 MT 产品和解决方案的稳健性与可靠性,最终帮助我们的客户有效管理安全风险。

如何报告漏洞?

我们强烈鼓励每个人报告与 MT 产品或解决方案相关的任何安全漏洞。提供全面、准确且详细的信息,有助于我们的产品安全事件响应团队(PSIRT)更高效、更有效地做出响应。

为方便您联系,MT 提供两种简单的方式与我们取得联系。 

1. 发送电子邮件至 psirt@mt.com

2. 通过我们的合作伙伴 CERT@VDE 间接提交:https://cert.vde.com/helper/reportvuln/

上述两种沟通渠道的监控时间为周一至周五 8:00 至 17:00(CET)。 

首选语言为英语。

谁会收到报告?

METTLER TOLEDO 会确保该报告被提供给必要的专业人员,以便他们处理所述问题。报告的访问权限仅限 MT 员工,确保任何外部人员都无法查看。

此外,除非报告方特别要求披露其信息,否则 MT 承诺对报告方的联系信息保密。

报告将如何处理?

METTLER TOLEDO PSIRT 是一个中央跨学科团队,将全面审查所报告漏洞对 MT 产品和解决方案的影响及相关性。

MT PSIRT 反应有多快?

通常,所报告漏洞的接收确认会在两个工作日内完成。感谢您为提升 MT 产品的安全性所做的贡献!

修复问题的方法是什么?

在 METTLER TOLEDO,处理安全问题通常需要将我们的安全与防护开发流程与行业要求保持一致,这可能会影响缓解措施或修复的实施时间。感谢您在此过程中的耐心;如您愿意,我们将与报告方保持密切沟通。

由于许多 MT 组件和系统与客户的基础设施高度集成,我们请报告方在披露任何信息时与我们协调。这可确保在适当的缓解措施、临时解决方案或实际修复到位之前,信息不会过早发布。

感谢您的理解与合作!

公众将如何获知结果?

对于被评为严重或高风险的漏洞,METTLER TOLEDO 将申请 CVE(通用漏洞披露)编号,安全通告将发布在我们的合作伙伴平台 CERT@VDE 上。对于被评为中等和低风险的漏洞,相关信息将包含在下一产品版本的发行说明中。

客户可以选择注册 RSS/Atom 订阅源,或直接在 CERT@VDE 上查看 MT 产品和解决方案的相关信息。

在极端情况下,例如功能安全受到威胁时,我们会尽快直接联系受影响的客户。我们会认真评估每个漏洞,并遵循负责任披露政策。在少数情况下,METTLER TOLEDO 也可能对不影响 MT 产品和解决方案的漏洞发表评论。

咨询公告中包含哪些内容?

通告提供与漏洞相关的事实和历史记录,确保客户和利益相关方充分了解情况。

请参阅指南以获取有价值的信息(所有信息均为自愿提供)

· 个人联系方式(姓名、组织、电子邮件、电话、国家/地区)

· 漏洞描述(影响、复现方法、日志文件、pcap、CWE-ID,如有可提供 CVE-ID)

· 受影响产品名称

· 受影响产品的软件版本

· 受影响产品的序列号

· 其他意见

· 披露情况(您是否计划披露,或该漏洞是否已披露?)

· 我们可以或应该联系您吗?

开源软件

在 METTLER TOLEDO,我们完全支持开源软件作为数字化转型关键组成部分的理念。

我们的承诺是在积极为这一协作生态系统做出贡献的同时,让客户、员工以及更广泛的社区受益。


如果您对 METTLER TOLEDO 的开源使用和许可证管理有任何疑问,请联系我们的开源合规官(OSCO),邮箱为 osco@mt.com.

我想...
需要帮助吗?
我们的顾问很高兴为您提供服务.