Beveiligingsstrategie

Openbare feedbackinterface

Beveiligingsonderzoekers kunnen EDIFIER op de hoogte stellen van beveiligingskwetsbaarheden in apparaten.

Contactpersoon van de beveiligingsafdeling van Edifier

support@edifier.com


Beveiligingsrapport van onafhankelijke beveiligingsexpert

Edifier heeft een partnerschap getekend met Security Corporation, die een beveiligingstestrapport voor de apparaten van Edifier zal verstrekken.


Bewaking van kwetsbaarheden in software

Controleer de openbare informatie van de volgende websites door middel van regelmatige en voortdurende monitoring

CVE (http://cve.mitre.org/)

NVD (https://nvd.nist.gov/)

CWE (http://cwe.mitre.org/)


Updatestrategie voor softwareonderhoud

Controleer versie-updates voor componenten van derden en update naar de nieuwste versie om het bestaan van bekende kwetsbaarheden te voorkomen.

Oplossingen voor ernstige kwetsbaarheden worden gebundeld in bestaande updates.


Wanneer er een kwetsbaarheid wordt vastgesteld, werkt u de firmware als volgt bij:

1. Kwetsbaarheden geïdentificeerd door klanten, gebruikers, etc.

2. Er moet onmiddellijk een beveiligingsgerelateerde beoordelingsvergadering worden gehouden en de bijbehorende oplossing moet worden gepresenteerd. Tot de deelnemers behoren met name een beveiligingstechnologiemanager, een projectontwikkelingsmanager, een firmware-architectuurmanager en een technisch directeur. CVSSv2 zal worden gebruikt als referentiestandaard voor het beoordelen en prioriteren van kwetsbaarheid.

3. Afhankelijk van de oplossing voert de ontwikkelaar de specifieke implementatie uit.

4. Codebeoordeling. Beoordelaars moeten de beveiligingstechnologiemanager en projectontwikkeling omvatten.

5. Firmware vrijgeven.

6. QA-team test de firmware. Als er problemen zijn, ga dan terug naar stap drie.

7. Code samengevoegd in hoofdtak.

8. De projectmanager informeert klanten dat ze de software moeten bijwerken en ontvangt een upgradebevestiging van de klant.

9. Publiceer OTA voor updates van Edifier-producten.


Beveiligingsreactieplan

Als er zich een beveiligingsincident voordoet, moet het incident worden behandeld als urgent met de hoogste prioriteit. CEO en CTO moeten op de hoogte zijn van dit incident en deelnemen aan de incidentafhandeling. Als het incident een softwareonderhoudsprobleem is, wordt dit afgehandeld volgens het proces van de “Softwareonderhoudsupdatestrategie” in dit document. Er moet onmiddellijk een tripartiete bijeenkomst worden gehouden. De deelnemers zijn Edifier, OEMS. Tijdens de bijeenkomst moet informatie worden verzameld, de situatie van het ongeval worden verduidelijkt en de geschatte tijdlijnen voor het herstel van een incident worden ingeschat. Als er sprake is van een bijzonder incident met grote impact, zal Edifier de tijdlijnen voor herstel met de klant bespreken.