セキュリティ
セキュリティ戦略
公開フィードバックインターフェース
セキュリティ研究者は、デバイスのセキュリティ脆弱性を EDIFIER に通知できます。
Edifier 公式ウェブサイト
Edifier のセキュリティ部門の連絡先
独立したセキュリティ専門家からのセキュリティレポート
Edifier は Security Corporation とパートナーシップを締結しており、Edifier のデバイスに関するセキュリティテストレポートを提供します。
ソフトウェア脆弱性の監視
定期的かつ継続的なモニタリングにより、以下のウェブサイトの公開情報を監視します
ソフトウェア保守の更新方針
サードパーティコンポーネントのバージョン更新を監視し、既知の脆弱性の存在を回避するために最新バージョンへ更新します。
重大度の高い脆弱性に対する修正は、既存のアップデートに同梱されます。
いずれかの脆弱性が特定された場合、ファームウェアを次のとおり更新します:
1. 顧客、ユーザー等によって特定された脆弱性。
2. セキュリティ関連のレビュー会議を直ちに開催し、対応する解決策を提示する必要があります. 特に、参加者にはセキュリティ技術マネージャー、プロジェクト開発マネージャー、ファームウェアアーキテクチャマネージャー、技術ディレクターを含めなければなりません。 脆弱性の評価と優先順位付けには参照基準として CVSSv2 を使用します。
3. 解決策に従い、開発者が具体的な実装を行います。
4. コードレビュー。レビュー担当者にはセキュリティ技術マネージャーおよびプロジェクト開発担当者が含まれるべきです。
5. ファームウェアをリリースします。
6. QA チームがファームウェアをテストします。問題がある場合はステップ3に戻ります。
7. コードをトランクブランチにマージします。
8. プロジェクトマネージャーが顧客にソフトウェア更新の必要性を通知し、顧客のアップグレード確認を取得します。
9. Edifier 製品の更新用に OTA を公開します。
セキュリティ対応計画
セキュリティインシデントが発生した場合、そのインシデントは最優先の緊急事項として扱われなければなりません。CEO と CTO はこのインシデントを把握し、対応に参加しなければなりません。インシデントがソフトウェア保守の問題である場合は、本書の “ソフトウェア保守の更新方針” のプロセスに従って対処します。三者会議を直ちに開催する必要があります。参加者は Edifier,OEMS. 会議では情報の収集 , 事故の状況の明確化, インシデントの是正に関する見積もりタイムラインが必要です。特別かつ重大な影響を持つインシデントがある場合、Edifier は顧客と是正のタイムラインについて協議します。