Seguridad

Interfaz de retroalimentación pública

Los investigadores de seguridad pueden notificar a EDIFIER sobre vulnerabilidades de seguridad en dispositivos.

Contacto del departamento de seguridad de Edifier

support@edifier.com

Informe de seguridad de un experto independiente

Edifier ha firmado una asociación con Security Corporation, que proporcionará un informe de pruebas de seguridad para los dispositivos de Edifier.

Monitorización de vulnerabilidades de software

Supervisar la información pública de los siguientes sitios web mediante un monitoreo regular y continuo

CVE (http://cve.mitre.org/)

NVD (https://nvd.nist.gov/)

CWE (http://cwe.mitre.org/)

Estrategia de actualización y mantenimiento de software

Supervisar las actualizaciones de versión de los componentes de terceros y actualizar a la versión más reciente para evitar la existencia de vulnerabilidades conocidas.

Las correcciones para vulnerabilidades de severidad se incluirán en las actualizaciones existentes.

Cuando se identifique cualquier vulnerabilidad, actualice el firmware de la siguiente manera:

1.  Vulnerabilidades identificadas por clientes, usuarios, etc.

2.  Debe celebrarse inmediatamente una reunión de revisión relacionada con la seguridad y debe presentarse la solución correspondiente. En particular, los participantes deben incluir al gerente de tecnología de seguridad, al gerente de desarrollo del proyecto, al gerente de arquitectura de firmware y al Director Técnico.CVSSv2 se utilizará como estándar de referencia para evaluar y priorizar la vulnerabilidad.

3.  Según la solución, el desarrollador realiza la implementación específica.

4.  Revisión de código. Los revisores deben incluir al gerente de tecnología de seguridad y al desarrollo del proyecto.

5.  Publicar el firmware.

6.  El equipo de QA prueba el firmware. Si hay problemas, volver al paso tres.

7.  Código fusionado en la rama trunk.

8.  El gerente del proyecto notifica a los clientes que deben actualizar el software y obtiene la confirmación de actualización del cliente.

9.  Publicar OTA para la actualización de productos Edifier.

Plan de respuesta de seguridad

Si surge un incidente de seguridad, el incidente debe tratarse como una prioridad máxima y urgente. El CEO y el CTO deben estar al tanto de este incidente y participar en la gestión del mismo. Si el incidente es un problema de mantenimiento de software, se manejará de acuerdo con el proceso de la “Estrategia de actualización y mantenimiento de software” en este documento. Se deberá celebrar inmediatamente una reunión tripartita. Los participantes son Edifier y los OEM. La reunión debe recopilar información, aclarar la situación del incidente y estimar los plazos para la remediación del incidente. Si existe un incidente de impacto mayor especial, Edifier discutirá los plazos de remediación con el cliente.