ช่องทางรับข้อเสนอแนะสาธารณะ
นักวิจัยด้านความปลอดภัยสามารถแจ้ง EDIFIER เกี่ยวกับช่องโหว่ด้านความปลอดภัยในอุปกรณ์ได้
การติดต่อฝ่ายความปลอดภัยของ Edifier
support@edifier.com
รายงานความปลอดภัยจากผู้เชี่ยวชาญอิสระ
Edifier ได้ลงนามความร่วมมือกับ Security Corporation ซึ่งจะจัดทำรายงานการทดสอบความปลอดภัยสำหรับอุปกรณ์ของ Edifier
การตรวจสอบช่องโหว่ของซอฟต์แวร์
ติดตามข้อมูลสาธารณะของเว็บไซต์ต่อไปนี้ผ่านการตรวจสอบเป็นประจำและต่อเนื่อง
CVE (http://cve.mitre.org/)
NVD (https://nvd.nist.gov/)
CWE (http://cwe.mitre.org/)
กลยุทธ์การอัปเดตการบำรุงรักษาซอฟต์แวร์
ติดตามการอัปเดตเวอร์ชันของส่วนประกอบจากบุคคลภายนอกและอัปเดตเป็นเวอร์ชันล่าสุดเพื่อหลีกเลี่ยงการมีช่องโหว่ที่เป็นที่รู้จัก
การแก้ไขช่องโหว่ที่มีความร้ายแรงจะถูกรวมอยู่ในการอัปเดตที่มีอยู่
เมื่อมีการระบุช่องโหว่ใด ๆ ให้ปรับปรุงเฟิร์มแวร์ดังต่อไปนี้:
1. ช่องโหว่ที่ถูกค้นพบโดยลูกค้า ผู้ใช้ เป็นต้น
2. ต้องมีการจัดประชุมทบทวนที่เกี่ยวข้องกับความปลอดภัยทันทีและต้องนำเสนอแนวทางแก้ไขที่สอดคล้อง โดยเฉพาะอย่างยิ่ง ผู้เข้าร่วมต้องรวมถึงผู้จัดการเทคโนโลยีด้านความปลอดภัย ผู้จัดการพัฒนาระบบ โครงสร้างเฟิร์มแวร์ และผู้อำนวยการด้านเทคนิคCVSSv2 จะถูกใช้เป็นมาตรฐานอ้างอิงสำหรับการประเมินและกำหนดลำดับความสำคัญของช่องโหว่
3. ตามแนวทางแก้ไข ผู้พัฒนาจะดำเนินการลงมือปฏิบัติเฉพาะ
4. การทบทวนโค้ด ผู้ตรวจทานควรรวมถึงผู้จัดการเทคโนโลยีด้านความปลอดภัยและผู้พัฒนาของโครงการ
5. ปล่อยเฟิร์มแวร์
6. ทีม QA ทดสอบเฟิร์มแวร์ หากพบปัญหาให้กลับไปที่ขั้นตอนสาม
7. รวมโค้ดเข้ากับสาขาหลัก (trunk branch)
8. ผู้จัดการโครงการแจ้งลูกค้าว่าจำเป็นต้องอัปเดตซอฟต์แวร์และรับการยืนยันการอัปเกรดจากลูกค้า
9. เผยแพร่การอัปเดตแบบ OTA สำหรับผลิตภัณฑ์ของ Edifier
แผนตอบสนองด้านความปลอดภัย
หากเกิดเหตุกิจกรรมด้านความปลอดภัย เหตุการณ์นั้นต้องได้รับการปฏิบัติเป็นเรื่องเร่งด่วนสูงสุด ซีอีโอและซีทีโอต้องรับทราบเหตุการณ์นี้และเข้าร่วมในการจัดการเหตุการณ์ หากเหตุการณ์เป็นปัญหาการบำรุงรักษาซอฟต์แวร์ จะถูกจัดการตามกระบวนการใน “กลยุทธ์การอัปเดตการบำรุงรักษาซอฟต์แวร์” ในเอกสารนี้ ควรจัดประชุมสามฝ่ายทันที ผู้เข้าร่วมได้แก่ Edifier และ OEMs การประชุมต้องรวบรวมข้อมูล ชี้แจงสถานการณ์ของเหตุการณ์ และประเมินกรอบเวลาที่คาดว่าจะใช้ในการแก้ไข หากมีเหตุการณ์ที่มีผลกระทบสำคัญเป็นพิเศษ Edifier จะหารือกรอบเวลาสำหรับการแก้ไขกับลูกค้า