Почему следует сообщать об уязвимостях?

Мы от всего сердца приглашаем всех — будь вы клиентом METTLER TOLEDO или нет — поделиться ценными отзывами обо всех продуктах и решениях MT! Ваши мнения крайне важны для нас. Мы заверяем вас, что все данные, особенно персональная информация, будут обрабатываться с максимальной конфиденциальностью и без необходимости заключения соглашения о неразглашении.

Сообщая об уязвимостях, вы играете важную роль в том, чтобы помочь нам улучшать наши продукты. Это позволяет нам оперативно устранять эти проблемы и информировать наших клиентов о мерах по снижению рисков, обходных решениях и исправлениях. Такой совместный подход помогает нам повышать надежность и устойчивость продуктов и решений MT, в конечном итоге позволяя нашим клиентам эффективно управлять рисками безопасности.

Как можно сообщить об уязвимостях?

Мы настоятельно призываем всех сообщать о любых уязвимостях, связанных с безопасностью продуктов или решений MT. Предоставление полной, точной и подробной информации помогает нашей группе реагирования на инциденты информационной безопасности продуктов (PSIRT) действовать более эффективно и оперативно.

Для вашего удобства MT предлагает два простых способа связаться с нами. 

1. По электронной почте на psirt@mt.com

2. Через нашего партнера CERT@VDE: https://cert.vde.com/helper/reportvuln/

Оба указанных выше канала связи отслеживаются с понедельника по пятницу с 8:00 до 17:00 по центральноевропейскому времени (CET). 

Предпочтительный язык — английский.

Кто получит сообщение?

METTLER TOLEDO гарантирует, что отчет будет предоставлен необходимым специалистам, которые обладают компетенцией для решения описанной проблемы. Доступ к отчету будет ограничен только сотрудниками MT, что гарантирует, что никакие внешние стороны не смогут его просмотреть.

Кроме того, MT обязуется сохранять конфиденциальность контактной информации сообщившей стороны, если только она специально не запросит ее раскрытие.

Что будет сделано с сообщением?

Центральная междисциплинарная группа METTLER TOLEDO PSIRT тщательно рассмотрит влияние и значимость сообщенной уязвимости для продуктов и решений MT.

Как быстро отреагирует MT PSIRT?

Как правило, подтверждение получения сообщения об уязвимости предоставляется в течение двух рабочих дней. Благодарим вас за преданность делу повышения безопасности продуктов MT!

Каков подход к устранению проблемы?

В METTLER TOLEDO решение проблем безопасности часто связано с согласованием наших процессов разработки в области безопасности с промышленными требованиями, что может повлиять на сроки внедрения мер по устранению или исправлений. Мы ценим ваше терпение в ходе этого процесса и, при желании, будем поддерживать тесную связь с сообщившей стороной.

Поскольку многие компоненты и системы MT тесно интегрированы в инфраструктуру наших клиентов, мы просим сообщившую сторону согласовывать с нами любое раскрытие информации. Это гарантирует, что информация не будет раскрыта преждевременно, до того как будут внедрены соответствующие меры по устранению, обходные решения или фактические исправления.

Благодарим за понимание и сотрудничество!

Как общественность будет информирована о результате?

Для уязвимостей с оценкой Critical или High METTLER TOLEDO запросит номер CVE (Common Vulnerabilities and Exposures), а уведомления о безопасности будут опубликованы на нашей партнерской платформе CERT@VDE. Для уязвимостей с оценкой Medium и Low информация будет включена в примечания к выпуску следующей версии продукта.

Клиенты могут подписаться на RSS/Atom-ленту или напрямую проверять наличие продуктов и решений MT на CERT@VDE.

В исключительных случаях, например когда под угрозой находится функциональная безопасность, затронутые клиенты будут как можно быстрее уведомлены напрямую. Мы тщательно оцениваем каждую уязвимость и придерживаемся политики ответственного раскрытия. В редких случаях METTLER TOLEDO также может предоставлять комментарии по уязвимостям, которые не затрагивают продукты и решения MT.

Что содержит рекомендация?

Уведомление содержит соответствующие факты и историю уязвимости, обеспечивая информированность клиентов и заинтересованных сторон.

Пожалуйста, ознакомьтесь с руководством, содержащее полезную информацию (вся информация предоставляется добровольно)

· Личный контакт (имя, организация, e-mail, телефон, страна)

· Описание уязвимости (влияние, как воспроизвести, logfiles, pcap, CWE-ID, CVE-ID, если доступно)

· Название затронутого продукта

· Версия программного обеспечения затронутого продукта

· Серийный номер затронутого продукта

· Дополнительные комментарии

· Раскрытие (планируете ли вы раскрытие, или уязвимость уже раскрыта?)

· Можем ли мы или должны ли мы связаться с вами?

Программное обеспечение с открытым исходным кодом

В METTLER TOLEDO мы полностью поддерживаем концепцию программного обеспечения с открытым исходным кодом как важнейший компонент цифровой трансформации.

Мы стремимся приносить пользу нашим клиентам, сотрудникам и более широкому сообществу, активно внося вклад в эту совместную экосистему.


Если у вас есть вопросы об использовании Open Source и управлении лицензиями в METTLER TOLEDO, пожалуйста, свяжитесь с нашим ответственным за соответствие требованиям Open Source (OSCO) по адресу osco@mt.com.

Я хочу...
Need assistance?
Our team is here to achieve your goals. Speak with our experts.