Inicio / Recursos / Seguridad / Políticas de seguridad / Política de parches de vulnerabilidad DAL
Recursos Historias de clientes Eventos IoT Terminología Certificaciones Galería de proyectos Biblioteca de recursos Centro de seguridad Vídeos Seminarios web

Política de parches de vulnerabilidad de DAL

Contenido

Objetivo

Esta política tiene por objeto describir las normas de Digi para responder a las posibles vulnerabilidades de seguridad conocidas en los productos DAL OS. Define los objetivos de Digi para la comunicación de posibles vulnerabilidades y la entrega de resoluciones a los clientes.

Alcance

Esta política cubre específicamente las vulnerabilidades de seguridad en los productos DAL OS liberados y soportados. Definimos una vulnerabilidad de seguridad como una debilidad no intencionada o defecto dentro del hardware, firmware o software que tiene el potencial de ser explotado, por un agente de amenaza, con el fin de comprometer la red de un cliente. Esto incluye, pero no se limita a, cualquier método que involuntariamente proporcione métodos de acceso, permisos o información no autorizados.

Esta política no cubre el soporte general y el proceso de resolución de defectos no relacionados con la seguridad. Para más información sobre las políticas generales de asistencia, consulte Asistencia y operaciones del servicio de asistencia.

Audiencia

Esta política es para uso de los socios y clientes de Digi.

Introducción

DAL OS es el sistema operativo estándar de Digi integrado en routers empresariales (EX), industriales (IX) y de transporte (TX), servidores de dispositivos y serie (Connect EZ), servidores de consola y dispositivos conectados por USB.

Los productos DAL OS están diseñados para ser elementos seguros y fiables de las redes de nuestros clientes. Nuestros productos incluyen muchas características de seguridad como arranque seguro, cortafuegos, autenticación, autorización y encriptación. Las prácticas de Digi Engineering prohíben la introducción de funciones que eludan estas características.

Digi agradece la notificación transparente de vulnerabilidades y se compromete a resolverlas a tiempo. Además de los informes de los usuarios, Digi busca activamente vulnerabilidades mediante pruebas internas, análisis estáticos de código, pruebas de penetración independientes y evaluación de nuevos CVE. Estas pueden ser introducidas a través de un error en el diseño o desarrollo o (más comúnmente) a través de una vulnerabilidad descubierta en una librería de terceros integrada en el firmware o software DAL OS. Las vulnerabilidades pueden ser descubiertas a través de las pruebas de DAL OS, reportadas públicamente como una Vulnerabilidad y Exposición Común (CVE), o descubiertas por una evaluación de seguridad independiente, un cliente u otra parte.

La política de Digi es evaluar rápidamente el impacto de cualquier vulnerabilidad notificada. Una vez evaluada la vulnerabilidad de acuerdo con el Sistema Común de Puntuación de Vulnerabilidades (CVSS 4.0), se pondrán a disposición pública de clientes y socios los detalles de la vulnerabilidad, sus repercusiones y los plazos para su resolución.

Notificación de posibles vulnerabilidades

Se recomienda a los clientes o socios que estén experimentando problemas de seguridad con los productos DAL OS que informen del problema tan pronto como sea posible a través del formulario de seguridad de Digi. Al informar de una posible vulnerabilidad, por favor incluya tanta información como sea posible (incluyendo el número CVE si está disponible) sobre las circunstancias y el impacto potencial.

Evaluación de las vulnerabilidades potenciales

Digi utiliza el Sistema Común de Puntuación de Vulnerabilidades (CVSS 4.0) en combinación con las puntuaciones de gravedad para evaluar las vulnerabilidades potenciales notificadas recientemente. La puntuación CVSS determinada refleja la amenaza potencial para la seguridad de la vulnerabilidad dentro del contexto del diseño de productos de Digi. El equipo de seguridad e ingeniería de Digi se reserva el derecho de reclasificar internamente la puntuación CVSS para determinar la probabilidad de impacto en nuestros productos basándose en las diferencias de implementación citadas inicialmente por el NIST. En caso de que un consumidor de bienes y servicios de Digi tenga alguna duda sobre las determinaciones realizadas, se puede proporcionar una cadena vectorial de la puntuación determinada por Digi para su aclaración a través de una solicitud de soporte a Soporte Digi

Información y plazos de resolución

La puntuación CVSS 4.0 se utiliza para priorizar y establecer objetivos de comunicación y resolución de la siguiente manera:

Gravedad CVSS 4.0 Objetivo de resolución Información fija
Crítica 9.0-10.0 Publicación del parche en los 30 días siguientes a la publicación del aviso de seguridad La información sobre la corrección se encuentra en las notas de la versión del parche.
Alta 7.0-8.9 Publicación del parche en los 30 días siguientes a la publicación del aviso de seguridad La información sobre la corrección se encuentra en las notas de la versión del parche.
Medio 4.0-6.9 Próxima versión importante Notas de publicación
Menor N/A Futura publicación Notas de publicación
Sin vulnerabilidad N/A N/A N/A

Resolución de posibles vulnerabilidades

Digi se toma muy en serio las vulnerabilidades de seguridad y se esfuerza por ofrecer soluciones a sus clientes y socios en línea con los objetivos de resolución para todos los productos actualmente en soporte (para verificar qué productos ya no reciben soporte, visite el portal de clientes de Digi para obtener una lista de PCN y anuncios de EOL).

Para las vulnerabilidades críticas, Digi pone en marcha un proceso formal de gestión de incidentes. Este proceso implica dedicar los recursos apropiados a la resolución hasta que se haya publicado una solución. El proceso incluye procedimientos internos de comunicación y escalado para garantizar que la resolución recibe la máxima prioridad posible.

Todas las resoluciones de software se entregarán a través de nuestros canales de liberación estándar, que es a través de nuestro portalDigi Remote Manager y nuestro sitio de soporte Digi. El mantenimiento del software se ofrecerá después del período de garantía del software durante la duración de la garantía del hardware y hasta la fecha de fin de lanzamiento del software. Esto incluye esfuerzos comercialmente razonables para solucionar deficiencias y actualizar las funciones de seguridad. Es posible que los clientes tengan que actualizar a una versión actual del firmware y/o realizar otros cambios en el dispositivo para implementar estas actualizaciones.

Cuando Digi anuncie una fecha de Fin de Vida (EOL) de un producto, Digi definirá una Fecha de Fin de Lanzamiento de Software que será 1 año después de la fecha de Último Envío.

Las vulnerabilidades de seguridad que requieren cambios en el diseño del hardware son extremadamente raras. Para problemas críticos Digi emitirá una retirada general para los dispositivos afectados. Todos los demás defectos se tratarán mediante el proceso normal de RMA.

Recepción de información sobre posibles vulnerabilidades

Los clientes y socios pueden registrarse para recibir información sobre posibles vulnerabilidades que estén en proceso de evaluación o resolución a través del Digi Security Center.

Todas las partes registradas recibirán avisos de seguridad de gravedad crítica y alta que proporcionarán información detallada sobre la vulnerabilidad. También recibirán actualizaciones sobre todos los problemas que hayan notificado, independientemente del tipo, a través de nuestro portal de envío o de nuestro portal de asistencia.

Última actualización: 19 de agosto de 2024