Varför bör du rapportera sårbarheter?

Vi välkomnar alla varmt — oavsett om du är kund hos METTLER TOLEDO eller inte — att dela med dig av din värdefulla feedback om alla MT-produkter och lösningar! Dina synpunkter är avgörande för oss. Vi försäkrar dig om att all data, särskilt personuppgifter, kommer att hanteras med största konfidentialitet och utan behov av ett sekretessavtal.

Genom att rapportera sårbarheter spelar du en viktig roll i att hjälpa oss att förbättra våra produkter. Det gör det möjligt för oss att åtgärda dessa problem snabbt och hålla våra kunder informerade om åtgärder för att minska riskerna, workarounds och korrigeringar. Detta samarbetsinriktade arbetssätt gör att vi kan stärka robustheten och tillförlitligheten hos MT-produkter och lösningar, vilket i slutändan gör det möjligt för våra kunder att effektivt hantera säkerhetsrisker.

Hur kan du rapportera sårbarheter?

Vi uppmuntrar alla starkt att rapportera alla säkerhetsrelaterade sårbarheter som rör MT-produkter eller lösningar. Genom att tillhandahålla heltäckande, korrekt och detaljerad information kan vårt Product Security Incident Response Team (PSIRT) reagera mer effektivt och ändamålsenligt.

För din bekvämlighet erbjuder MT två enkla sätt att kontakta oss. 

1. E-post till psirt@mt.com

2. Indirekt via vår Partner CERT@VDE: https://cert.vde.com/helper/reportvuln/

Båda kommunikationskanalerna ovan övervakas måndag till fredag från 8:00 till 17:00 CET. 

Föredraget språk är engelska.

Vem kommer att ta emot rapporten?

METTLER TOLEDO säkerställer att rapporten görs tillgänglig för de nödvändiga specialisterna som har förutsättningar att hantera det beskrivna problemet. Åtkomsten till rapporten kommer endast att vara begränsad till MT-anställda, vilket säkerställer att inga externa parter kan se den.

Dessutom har MT åtagit sig att hålla den rapporterande partens kontaktuppgifter privata, om inte den rapporterande parten specifikt begär att deras information ska lämnas ut.

Vad kommer att göras med rapporten?

METTLER TOLEDO PSIRT är ett centralt, tvärfunktionellt team som noggrant kommer att granska påverkan och relevansen av den rapporterade sårbarheten för MT-produkter och lösningar.

Hur snabbt kommer MT PSIRT att reagera?

Vanligtvis bekräftas mottagandet av en rapporterad sårbarhet inom två arbetsdagar. Tack för ditt engagemang för att förbättra säkerheten hos MT-produkter!

Vad är tillvägagångssättet för att åtgärda problemet?

På METTLER TOLEDO innebär hanteringen av säkerhetsfrågor ofta att våra processer för säkerhetsutveckling anpassas till industriella krav, vilket kan påverka tidslinjen för att införa åtgärder eller korrigeringar. Vi uppskattar ert tålamod under denna process och kommer, om så önskas, att hålla nära kontakt med den rapporterande parten.

Eftersom många MT-komponenter och system är djupt integrerade i våra kunders infrastruktur ber vi att den rapporterande parten samordnar eventuell informationsspridning med oss. Detta säkerställer att information inte offentliggörs i förtid, innan lämpliga åtgärder, workarounds eller faktiska korrigeringar finns på plats.

Tack för er förståelse och samarbetsvilja!

Hur kommer allmänheten att informeras om resultatet?

För sårbarheter som bedöms som Kritiska eller Höga kommer METTLER TOLEDO att begära ett CVE-nummer (Common Vulnerabilities and Exposures), och säkerhetsråd kommer att publiceras på vår partnerplattform, CERT@VDE. För sårbarheter som bedöms som Medel och Låg kommer information att inkluderas i versionsnoterna för nästa produktversion.

Kunder kan välja att registrera sig för ett RSS/Atom-flöde eller direkt kontrollera MT:s produkter och lösningar på CERT@VDE.

I extrema fall, till exempel när funktionell säkerhet är i fara, kommer berörda kunder att kontaktas direkt så snabbt som möjligt. Vi bedömer varje sårbarhet noggrant och följer en policy för ansvarsfull offentliggörande. I sällsynta fall kan METTLER TOLEDO också lämna kommentarer om sårbarheter som inte påverkar MT:s produkter och lösningar.

Vad finns i meddelandet?

Ett säkerhetsmeddelande tillhandahåller relevanta fakta och en historik över sårbarheten, så att kunder och intressenter är välinformerade.

Se en riktlinje för värdefull information (All information är frivillig)

· Personlig kontakt (Namn, Organisation, E-post, Telefon, Land)

· Beskrivning av sårbarheten (effekt, hur den kan återskapas, loggfiler, pcap, CWE-ID, CVE-ID om tillgängligt)

· Namn på den berörda produkten

· Programvaruversion för den berörda produkten

· Serienummer för den berörda produkten

· Ytterligare kommentarer

· Offentliggörande (Planerar ni att offentliggöra, eller har sårbarheten redan offentliggjorts?)

· Kan eller bör vi kontakta er?

Open Source Software

På METTLER TOLEDO stödjer vi helhjärtat konceptet Open Source Software som en viktig del av den digitala omställningen.

Vårt åtagande är att gagna våra kunder, medarbetare och det bredare samhället samtidigt som vi aktivt bidrar till detta samarbetsinriktade ekosystem.


Om du har några frågor om användning av Open Source och licenshantering på METTLER TOLEDO, vänligen kontakta vår Open Source Compliance Officer (OSCO) på osco@mt.com.

Jag vill...
Behöver du hjälp?
Vi finns här för att svara på dina frågor.