当社の製品が最高のセキュリティ標準と整合性を維持するように、製品セキュリティ調査チームが処理する正式な調査プロセスを用意しています。
次の図は、OneSpan PSIRTプロセスの概要を示しています。
発見
最初のステップとして、OneSpan PSIRTは、1つ以上のOneSpan製品の疑わしい脆弱性を認識します。これにはいくつかの方法があります。
サードパーティ(顧客、パートナー、研究者など)は、疑わしい脆弱性をOneSpanに直接報告します。
- OneSpanは、疑わしい脆弱性に関する(Bugtraq、VulnDevなどへの)公開投稿を認識します。
- OneSpan自体の部門は、OneSpan製品の脆弱性を発見しました。
- その後、OneSpan PSIRTは、疑わしい脆弱性をサポートの詳細とともに記録し、ケースを調査していることをレポーターに通知します。
疑わしい脆弱性が第三者によって非公開で報告された場合、OneSpan PSIRTは、責任ある開示慣行に従って、完全な解決策が利用可能になりOneSpan PSIRTによって公開されるまで、厳密な機密性を維持するようレポーターに要求します。OneSpan PSIRTは、プロセス全体のすべての手順についてレポーターに通知し続けます。
内部分析
PSIRTは、疑わしい脆弱性を検証のために関連する製品チームに報告します。製品チームは、問題を再現して、事実上脆弱性であるかどうかを検証しようとします。
分析を通して、OneSpan PSIRTはレポーターと協力して脆弱性の性質を確認し、必要な技術情報を収集し、適切な是正措置を講じるよう努めています。
OneSpan PSIRTは、すべての機密情報を極秘に管理します。OneSpan内での配布は、解決の支援が必要な、知る必要がある個人に限定されています。
疑わしい脆弱性が確認された場合、OneSpan PSIRTと製品チームは協力して、以下を使用して脆弱性の重大度レベルを定義します。 Common Vulnerability Scoring System(CVSS) 、バージョン2.0。
緩和
製品チームは、修正を開発する製品バージョンを決定し、修正のリリース日の推定値を提供します。製品チームも修正を開発します。
お知らせ
PSIRTは、セキュリティパブリケーションが発行されるかどうかを決定し、発行される場合は、脆弱性を開示するために使用されるセキュリティパブリケーションのタイプを決定します。
PSIRTは、製品チームと協力してセキュリティ出版物を作成します。レポーターの同意を得て、OneSpan PSIRTは脆弱性の公開中にレポーターの貢献を承認する場合があります。必要に応じて、OneSpan PSIRTはMITER Corporationと連携して、脆弱性のCVE識別子を生成します。
OneSpan PSIRTは、さまざまなチャネルを介してセキュリティパブリケーションを公開します。
- PSIRT Webサイト
- セキュリティアドバイザリ&レスポンスRSSフィード経由
OneSpan PSIRTは、セキュリティフォーラム、脆弱性データベース、または電子メールリストでセキュリティ公開を公開する場合もあります。ただし、OneSpan PSIRTの公式Webサイトのみが最新の状態に保たれます。
最後に、OneSpanは、影響を受ける製品を使用している顧客に電子メールで通知します。