Objetivo
Esta política tiene por objeto describir las normas de Digi para responder a las posibles vulnerabilidades de seguridad conocidas en los productos DAL OS. Define los objetivos de Digi para la comunicación de posibles vulnerabilidades y la entrega de resoluciones a los clientes.
Alcance
Esta política cubre específicamente las vulnerabilidades de seguridad en los productos DAL OS liberados y soportados. Definimos una vulnerabilidad de seguridad como una debilidad no intencionada o defecto dentro del hardware, firmware o software que tiene el potencial de ser explotado, por un agente de amenaza, con el fin de comprometer la red de un cliente. Esto incluye, pero no se limita a, cualquier método que involuntariamente proporcione métodos de acceso, permisos o información no autorizados.
Esta política no cubre el soporte general y el proceso de resolución de defectos no relacionados con la seguridad. Para más información sobre las políticas generales de asistencia, consulte Asistencia y operaciones del servicio de asistencia.
Audiencia
Esta política es para uso de los socios y clientes de Digi.
Introducción
DAL OS es el sistema operativo estándar de Digi integrado en routers empresariales (EX), industriales (IX) y de transporte (TX), servidores de dispositivos y serie (Connect EZ), servidores de consola y dispositivos conectados por USB.
Los productos DAL OS están diseñados para ser elementos seguros y fiables de las redes de nuestros clientes. Nuestros productos incluyen muchas características de seguridad como arranque seguro, cortafuegos, autenticación, autorización y encriptación. Las prácticas de Digi Engineering prohíben la introducción de funciones que eludan estas características.
Digi welcomes the transparent reporting of vulnerabilities and is committed to resolving them in a timely manner. In addition to reporting by users, Digi actively searches for vulnerabilities through internal testing, static code analysis, independent penetration testing and assessing new CVEs. These may be introduced through an error in design or development or (more commonly) through a vulnerability being discovered in a third-party library integrated into DAL OS firmware or software. The vulnerabilities may be discovered through DAL OS testing, reported publicly as a Common Vulnerability and Exposure (CVE), or discovered by an independent security assessment, a customer, or another party.
La política de Digi es evaluar rápidamente el impacto de cualquier vulnerabilidad notificada. Una vez evaluada la vulnerabilidad de acuerdo con el Sistema Común de Puntuación de Vulnerabilidades (CVSS 3.0), se pondrán a disposición pública de clientes y socios los detalles de la vulnerabilidad, sus repercusiones y los plazos para su resolución.
Notificación de posibles vulnerabilidades
Se recomienda a los clientes o socios que estén experimentando problemas de seguridad con los productos DAL OS que informen del problema tan pronto como sea posible a través del formulario de seguridad de Digi. Al informar de una posible vulnerabilidad, por favor incluya tanta información como sea posible (incluyendo el número CVE si está disponible) sobre las circunstancias y el impacto potencial.
Evaluación de las vulnerabilidades potenciales
Digi utiliza el Sistema Común de Puntuación de Vulnerabilidades (CVSS 3.0) en combinación con las puntuaciones de gravedad para evaluar las vulnerabilidades potenciales notificadas recientemente. La puntuación CVSS determinada refleja la amenaza potencial para la seguridad de la vulnerabilidad dentro del contexto del diseño de productos de Digi. El equipo de seguridad e ingeniería de Digi se reserva el derecho de reclasificar internamente la puntuación CVSS para determinar la probabilidad de impacto en nuestros productos basándose en las diferencias de implementación citadas inicialmente por el NIST. En caso de que un consumidor de bienes y servicios de Digi tenga alguna duda sobre las determinaciones realizadas, se puede proporcionar una cadena vectorial de la puntuación determinada por Digi para su aclaración a través de una solicitud de soporte a Soporte Digi
Información y plazos de resolución
La puntuación CVSS 3.0 se utiliza para priorizar y establecer objetivos de comunicación y resolución de la siguiente manera:
| Gravedad |
CVSS 3.0 |
Objetivo de resolución |
Información fija |
| Crítica |
9.0-10.0 |
Publicación del parche en los 30 días siguientes a la publicación del aviso de seguridad |
La información sobre la corrección se encuentra en las notas de la versión del parche. |
| Alta |
7.0-8.9 |
Publicación del parche en los 30 días siguientes a la publicación del aviso de seguridad |
La información sobre la corrección se encuentra en las notas de la versión del parche. |
| Medio |
4.0-6.9 |
Próxima versión importante |
Notas de publicación |
| Menor |
N/A |
Futura publicación |
Notas de publicación |
| Sin vulnerabilidad |
N/A |
N/A |
N/A |
Resolución de posibles vulnerabilidades
Digi se toma muy en serio las vulnerabilidades de seguridad y se esfuerza por ofrecer soluciones a sus clientes y socios en línea con los objetivos de resolución para todos los productos actualmente en soporte (para verificar qué productos ya no reciben soporte, visite el portal de clientes de Digi para obtener una lista de PCN y anuncios de EOL).
Para las vulnerabilidades críticas, Digi pone en marcha un proceso formal de gestión de incidentes. Este proceso implica dedicar los recursos apropiados a la resolución hasta que se haya publicado una solución. El proceso incluye procedimientos internos de comunicación y escalado para garantizar que la resolución recibe la máxima prioridad posible.
Todas las resoluciones de software se entregarán a través de nuestros canales de publicación estándar, es decir, a través de nuestro portalDigi Remote Manager y nuestro sitio de asistencia de Digi. Las resoluciones de software relacionadas con la seguridad se ponen a disposición de todos los clientes, independientemente del estado de la garantía.
Las vulnerabilidades de seguridad que requieren cambios en el diseño del hardware son extremadamente raras. Para problemas críticos Digi emitirá una retirada general para los dispositivos afectados. Todos los demás defectos se tratarán mediante el proceso normal de RMA.
Recepción de información sobre posibles vulnerabilidades
Los clientes y socios pueden registrarse para recibir información sobre posibles vulnerabilidades que estén en proceso de evaluación o resolución a través del Digi Security Center.
Todas las partes registradas recibirán avisos de seguridad de gravedad crítica y alta que proporcionarán información detallada sobre la vulnerabilidad. También recibirán actualizaciones sobre todos los problemas que hayan notificado, independientemente del tipo, a través de nuestro portal de envío o de nuestro portal de asistencia.
Última actualización: 20 de diciembre de 2022