Sicurezza

Interfaccia per i feedback pubblici

I ricercatori di sicurezza possono segnalare a Edifier le vulnerabilità di sicurezza nei dispositivi.

Contatto del reparto sicurezza di Edifier

support@edifier.com

Rapporto di sicurezza da esperto indipendente

Edifier ha siglato una partnership con Security Corporation, che fornirà un rapporto di test di sicurezza per i dispositivi di Edifier.

Monitoraggio delle vulnerabilità software

Monitorare le informazioni pubbliche dei seguenti siti web mediante monitoraggio regolare e continuo

CVE (http://cve.mitre.org/)

NVD (https://nvd.nist.gov/)

CWE (http://cwe.mitre.org/)

Strategia di aggiornamento e manutenzione software

Monitorare gli aggiornamenti delle versioni dei componenti di terze parti e aggiornare all'ultima versione per evitare l'esistenza di vulnerabilità note.

Le correzioni per vulnerabilità di gravità verranno incluse negli aggiornamenti esistenti.

Quando viene identificata una vulnerabilità, aggiornare il firmware come segue:

1.  Vulnerabilità identificate da clienti, utenti, ecc.

2.  Deve essere tenuta immediatamente una riunione di revisione relativa alla sicurezza e va presentata la soluzione corrispondente. In particolare, i partecipanti devono includere il responsabile tecnico della sicurezza, il responsabile dello sviluppo del progetto, il responsabile dell'architettura firmware e il Direttore Tecnico.Il CVSSv2 sarà utilizzato come standard di riferimento per valutare e stabilire le priorità delle vulnerabilità.

3.  In base alla soluzione, lo sviluppatore esegue l'implementazione specifica.

4.  Revisione del codice. I revisori dovrebbero includere il responsabile tecnico della sicurezza e lo sviluppo del progetto.

5.  Rilasciare il firmware.

6.  Il team QA testa il firmware. Se ci sono problemi, tornare al passo tre.

7.  Unire il codice nel ramo principale (trunk).

8.  Il project manager notifica ai clienti che è necessario aggiornare il software e ottiene la conferma di aggiornamento da parte del cliente.

9.  Pubblicare OTA per l'aggiornamento dei prodotti Edifier.

Piano di risposta alla sicurezza

Se si verifica un incidente di sicurezza, l'incidente deve essere trattato come la massima priorità e urgente. Il CEO e il CTO devono essere informati di questo incidente e partecipare alla gestione dell'incidente. Se l'incidente riguarda la manutenzione del software, verrà gestito secondo il processo della "Strategia di aggiornamento e manutenzione software" in questo documento. Deve essere convocata immediatamente una riunione tripartita. I partecipanti sono Edifier e OEMS. La riunione deve raccogliere informazioni, chiarire la situazione dell'incidente e stimare i tempi per la risoluzione dell'incidente. Se si tratta di un incidente con un impatto particolarmente grave, Edifier discuterà i tempi di risoluzione con il cliente.