Zakaj bi morali prijaviti ranljivosti?

Prisrčno vabimo vse — bodisi ste stranka METTLER TOLEDO ali ne — da delite svoje dragocene povratne informacije o vseh izdelkih in rešitvah MT! Vaši vpogledi so za nas ključnega pomena. Zagotavljamo vam, da bodo vsi podatki, zlasti osebni podatki, obravnavani z najvišjo stopnjo zaupnosti in brez potrebe po sporazumu o nerazkrivanju informacij.

Pri poročanju o ranljivostih igrajo ključno vlogo pri tem, da nam pomagate izboljševati naše izdelke. To nam omogoča, da se teh težav hitro lotimo in naše stranke obveščamo o ukrepih za ublažitev, obvodih in popravkih. Tak pristop sodelovanja nam omogoča krepiti robustnost in zanesljivost izdelkov ter rešitev MT, kar našim strankam na koncu omogoča učinkovito obvladovanje varnostnih tveganj.

Kako lahko prijavite ranljivosti?

Močno spodbujamo vse, da prijavijo vsako ranljivost, povezano z varnostjo, pri izdelkih ali rešitvah MT. Zagotavljanje celovitih, natančnih in podrobnih informacij pomaga naši ekipi za odzivanje na varnostne incidente izdelkov (PSIRT), da se odzove učinkoviteje in uspešneje.

Za vaše udobje MT ponuja dva preprosta načina, kako stopiti v stik z nami. 

1. E-pošta na psirt@mt.com

2. Posredno prek našega Partner CERT@VDE: https://cert.vde.com/helper/reportvuln/

Oba zgoraj navedena komunikacijska kanala se spremljata od ponedeljka do petka od 8:00 do 17:00 po srednjeevropskem času. 

Prednostni jezik je angleščina.

Kdo bo prejel poročilo?

METTLER TOLEDO zagotavlja, da je prijava na voljo ustreznim strokovnjakom, ki so usposobljeni za obravnavo opisanega problema. Dostop do prijave bo omejen izključno na zaposlene v MT, zato je ne bodo mogle videti zunanje osebe.

Poleg tega se MT zavezuje, da bo kontaktne podatke prijavitelja ohranil zasebne, razen če prijavitelj izrecno zahteva, da se njegovi podatki razkrijejo.

Kaj bo storjeno s poročilom?

Osrednja, interdisciplinarna ekipa METTLER TOLEDO PSIRT bo temeljito pregledala vpliv in pomembnost prijavljene ranljivosti za izdelke in rešitve MT.

Kako hitro se bo MT PSIRT odzval?

Običajno bo potrditev prejema prijavljene ranljivosti poslana v dveh delovnih dneh. Hvala za vašo predanost izboljševanju varnosti izdelkov MT!

Kakšen je pristop k odpravljanju težave?

Pri METTLER TOLEDO obravnava varnostnih težav pogosto vključuje usklajevanje naših razvojnih procesov za varnost in zaščito z industrijskimi zahtevami, kar lahko vpliva na časovni okvir za uvedbo omilitvenih ukrepov ali popravkov. Cenimo vaše potrpljenje med tem postopkom in bomo, če boste želeli, ohranjali tesno komunikacijo s prijaviteljem.

Ker so številne komponente in sistemi MT močno povezani v infrastrukturo naših strank, prosimo, da prijavitelj uskladi vsako razkritje informacij z nami. To zagotavlja, da informacije niso razkrite prezgodaj, preden so vzpostavljeni ustrezni omilitveni ukrepi, obvodi ali dejanski popravki.

Hvala za vaše razumevanje in sodelovanje!

Kako bo javnost obveščena o izidu?

Za ranljivosti, ocenjene kot kritične ali visoke, bo METTLER TOLEDO zahteval številko CVE (Common Vulnerabilities and Exposures), varnostna obvestila pa bodo objavljena na naši partnerski platformi CERT@VDE. Za ranljivosti, ocenjene kot srednje in nizke, bodo informacije vključene v opombe ob izdaji naslednje različice izdelka.

Stranke se lahko registrirajo za vir RSS/Atom ali pa neposredno preverijo izdelke in rešitve MT na CERT@VDE.

V skrajnih primerih, na primer kadar je ogrožena funkcionalna varnost, bodo prizadete stranke čim prej neposredno kontaktirane. Vsako ranljivost skrbno ocenimo in sledimo politiki odgovornega razkritja. V redkih primerih lahko METTLER TOLEDO poda tudi komentarje o ranljivostih, ki ne vplivajo na izdelke in rešitve MT.

Kaj je v obvestilu?

Obvestilo vsebuje ustrezna dejstva in zgodovino ranljivosti, s čimer zagotavlja, da so stranke in deležniki dobro obveščeni.

Prosimo, glejte smernice za dragocene informacije (vse informacije so prostovoljne)

· Osebni kontakt (ime, organizacija, e-pošta, telefon, država)

· Opis ranljivosti (učinek, kako jo reproducirati, dnevniške datoteke, pcap, CWE-ID, CVE-ID, če je na voljo)

· Ime prizadetega izdelka

· Različica programske opreme prizadetega izdelka

· Serijska številka prizadetega izdelka

· Dodatni komentarji

· Razkritje (ali nameravate razkriti ranljivost ali je že razkrita?)

· Ali vas lahko oziroma ali vas moramo kontaktirati?

Odprtokodna programska oprema

Pri podjetju METTLER TOLEDO v celoti podpiramo koncept odprtokodne programske opreme kot ključno sestavino digitalne preobrazbe.

Naša zaveza je korist za naše stranke, zaposlene in širšo skupnost, hkrati pa aktivno prispevamo k temu sodelovalnemu ekosistemu.


Če imate kakršna koli vprašanja glede uporabe odprte kode in upravljanja licenc pri METTLER TOLEDO, se obrnite na našega pooblaščenca za skladnost z odprto kodo (OSCO) na osco@mt.com.

Želim...
Need assistance?
Our team is here to achieve your goals. Speak with our experts.