취약점을 신고해야 하는 이유는 무엇인가요?

METTLER TOLEDO 고객이든 아니든 관계없이, 모든 MT 제품과 솔루션에 대한 소중한 피드백을 기꺼이 보내 주시기를 진심으로 환영합니다! 여러분의 의견은 우리에게 매우 중요합니다. 모든 데이터, 특히 개인정보는 최고의 기밀성을 유지하며 처리되며, 비밀유지계약(NDA)은 필요하지 않음을 보장합니다.

취약점을 신고해 주시면, 여러분은 제품 개선에 큰 역할을 하게 됩니다. 이를 통해 문제를 신속하게 해결하고 고객에게 완화 조치, 우회 방법, 수정 사항을 안내할 수 있습니다. 이러한 협력적 접근은 MT 제품과 솔루션의 견고성과 신뢰성을 강화하는 데 도움이 되며, 궁극적으로 고객이 보안 위험을 효과적으로 관리할 수 있도록 합니다.

취약점을 어떻게 신고할 수 있나요?

MT 제품 또는 솔루션과 관련된 보안 취약점은 누구나 신고해 주시기를 강력히 권장합니다. 포괄적이고 정확하며 상세한 정보를 제공해 주시면 당사의 제품 보안 사고 대응팀(PSIRT)이 보다 효과적이고 효율적으로 대응하는 데 도움이 됩니다.

편의를 위해 MT는 문의하실 수 있는 두 가지 쉬운 방법을 제공합니다. 

1. psirt@mt.com으로 이메일 전송

2. 파트너 CERT@VDE를 통한 간접 신고: https://cert.vde.com/helper/reportvuln/

위의 두 연락 채널은 모두 CET 기준 월요일부터 금요일, 8:00부터 17:00까지 모니터링됩니다. 

선호 언어는 영어입니다.

누가 신고를 받나요?

METTLER TOLEDO는 보고서가 해당 문제를 해결할 수 있는 필요한 전문가들에게 전달되도록 보장합니다. 보고서 접근은 MT 직원에게만 제한되며, 외부 당사자는 이를 볼 수 없습니다.

또한 MT는 신고자가 정보 공개를 특별히 요청하지 않는 한 신고자의 연락처 정보를 비공개로 유지하는 데 최선을 다하고 있습니다.

신고는 어떻게 처리되나요?

METTLER TOLEDO PSIRT는 MT 제품과 솔루션에 대한 신고된 취약점의 영향과 관련성을 철저히 검토하는 중앙의 다학제 팀입니다.

MT PSIRT는 얼마나 빠르게 대응하나요?

일반적으로 신고된 취약점의 접수는 영업일 기준 2일 이내에 확인됩니다. MT 제품의 보안 강화에 기여해 주셔서 감사합니다!

문제 해결에 대한 접근 방식은 무엇인가요?

METTLER TOLEDO에서는 보안 문제를 다루는 과정에서 안전 및 보안 개발 프로세스를 산업 요구사항에 맞추는 일이 자주 필요하며, 이로 인해 완화 조치나 수정 사항의 구현 일정이 영향을 받을 수 있습니다. 이 과정에서의 인내에 감사드리며, 원하시는 경우 신고자와 긴밀한 커뮤니케이션을 유지하겠습니다.

많은 MT 구성 요소와 시스템이 고객 인프라에 매우 긴밀하게 통합되어 있으므로, 정보 공개와 관련한 모든 사항은 신고자께서 저희와 조율해 주시기를 요청드립니다. 이를 통해 적절한 완화 조치, 우회 방법 또는 실제 수정 사항이 마련되기 전에 정보가 조기에 공개되는 일을 방지할 수 있습니다.

이해와 협조에 감사드립니다!

결과는 어떻게 대중에게 알려지나요?

심각도 등급이 Critical 또는 High인 취약성의 경우, METTLER TOLEDO는 CVE(Common Vulnerabilities and Exposures) 번호를 요청하며 보안 권고문은 파트너 플랫폼인 CERT@VDE에 게시됩니다. Medium 및 Low로 평가된 취약성의 경우, 해당 정보는 다음 제품 버전의 릴리스 नोट에 포함됩니다.

고객은 RSS/Atom 피드를 구독할 수 있으며, CERT@VDE에서 MT 제품 및 솔루션을 직접 확인할 수도 있습니다.

기능 안전이 위험에 처하는 등 극단적인 경우에는 영향을 받는 고객에게 가능한 한 신속하게 직접 연락드립니다. 우리는 각 취약성을 신중하게 평가하며 책임 있는 공개 정책을 따릅니다. 드문 경우에는 METTLER TOLEDO가 MT 제품 및 솔루션에 영향을 미치지 않는 취약성에 대해서도 의견을 제공할 수 있습니다.

권고문의 내용은 무엇인가요?

권고문은 취약성의 관련 사실과 이력을 제공하여 고객과 이해관계자들이 충분히 정보를 얻을 수 있도록 합니다.

유용한 정보를 위한 가이드라인을 참조해 주세요(모든 정보는 자발적으로 제공됩니다)

· 개인 연락처(이름, 조직, 이메일, 전화번호, 국가)

· 취약성 설명(영향, 재현 방법, 로그 파일, pcap, CWE-ID, 가능할 경우 CVE-ID)

· 영향받는 제품명

· 영향받는 제품의 소프트웨어 버전

· 영향받는 제품의 시리얼 번호

· 추가 의견

· 공개 여부(공개할 계획이 있습니까, 아니면 취약성이 이미 공개되었습니까?)

· 저희가 연락드려도 됩니까, 아니면 연락을 원하십니까?

오픈 소스 소프트웨어

METTLER TOLEDO는 디지털 전환의 핵심 요소로서 오픈 소스 소프트웨어의 개념을 전적으로 지지합니다.

당사의 약속은 이 협력적인 생태계에 적극적으로 기여하면서 고객, 직원, 그리고 더 넓은 커뮤니티에 혜택을 제공하는 것입니다.


METTLER TOLEDO에서의 오픈 소스 사용 및 라이선스 관리에 관해 질문이 있으시면, osco@mt.com의 오픈 소스 컴플라이언스 담당자(OSCO)에게 연락해 주십시오.

빠른 요청
Need assistance?
Our team is here to achieve your goals. Speak with our experts.