Objetivo
Esta política tiene por objeto describir las normas de Digi para responder a las posibles vulnerabilidades de seguridad conocidas en los productos Digi que integran Digi Embedded Yocto (DEY). Define los objetivos de Digi para comunicar posibles vulnerabilidades y ofrecer soluciones a los clientes.
Alcance
Cualquier software puede presentar potencialmente vulnerabilidades o puntos débiles que pueden ser explotados por un ciberdelincuente para realizar un ataque con éxito. Una imagen de software de sistema de un dispositivo incluye diferentes componentes de software.
- Digi desarrolló paquetes de software como el Digi ConnectCore® board support package (BSP) y las extensiones de software Digi Embedded Yocto son mantenidos y propiedad de Digi.
- Los paquetes upstream de código abierto de la comunidad Linux utilizados para crear imágenes finales específicas del cliente se mantienen y son propiedad de la comunidad Linux y de los clientes.
- El software de aplicación para clientes es mantenido y propiedad de los clientes.
Además del mantenimiento del software propiedad de Digi, Digi ofrece servicios de apoyo al mantenimiento de paquetes de software propiedad de la comunidad/del cliente, como Digi ConnectCore Security Services y Digi Wireless Design Services.
Digi ConnectCore Los servicios de seguridad analizan el software del sistema que se ejecuta en los dispositivos ConnectCore basados en sistema en módulo (SOM) en busca de riesgos y vulnerabilidades de seguridad y ayudan a solucionar los problemas. Digi ConnectCore Los servicios de seguridad son un conjunto de servicios y herramientas que permiten a los clientes mantener la seguridad de sus dispositivos ConnectCore basados en SOM durante todo su ciclo de vida. Esto permite a los clientes resolver el reto continuo de mantener la seguridad de los productos después de su lanzamiento.
Los servicios incluyen el análisis y la supervisión de una lista de materiales de software (SBOM) personalizada y una imagen binaria que se ejecuta en los SOM de Digi ConnectCore para detectar riesgos de seguridad y vulnerabilidades. Para ayudar a remediar los problemas detectados, los servicios ofrecen un informe de vulnerabilidad curado que destaca los problemas críticos, una capa de software de seguridad que incluye parches para las vulnerabilidades comunes y servicios de consultoría.
Los Servicios de Diseño Inalámbrico de Digi proporcionan soporte técnico de Digi para el desarrollo de software y soporte de mantenimiento de seguridad. Digi proporciona soporte según las indicaciones y prioridades de los clientes en función de un número acordado de horas al mes, incluido en el acuerdo de servicio.
Esta política cubre específicamente las vulnerabilidades de seguridad en productos liberados y soportados que ejecutan imágenes DEY. Definimos una vulnerabilidad de seguridad como una debilidad o defecto no intencionado dentro del hardware, firmware o software que tiene el potencial de ser explotado por un agente de amenaza con el fin de comprometer el dispositivo de un cliente. Esto incluye, pero no se limita a, cualquier método que, intencionadamente o no, proporcione métodos de acceso, permisos o información no autorizados.
Esta política no cubre el soporte general y el proceso de resolución de defectos no relacionados con la seguridad. Para más información sobre las políticas generales de asistencia, visite Servicios de asistencia de Digi.
Audiencia
Esta política es para uso de los clientes y distribuidores de Digi.
Introducción
Yocto Project™ es un proyecto de colaboración de código abierto que proporciona plantillas, herramientas y métodos para ayudarle a crear sistemas personalizados basados en Linux para productos embebidos, independientemente de la arquitectura de hardware. Es un completo constructor de distribuciones Linux integradas con herramientas, metadatos y documentación.
Con el Proyecto Yocto, los clientes pueden compilar miles de paquetes para crear sus imágenes Linux personalizadas y añadir aplicaciones comunitarias de código abierto a sus dispositivos. Construye los tres componentes principales de un producto Linux integrado:
- El cargador de arranque
- El núcleo Linux
- El espacio de usuario o sistema de archivos raíz
Digi Embedded Yocto es una distribución Linux embebida de código abierto y de libre acceso basada en el Proyecto Yocto. Es la distribución de referencia para el ecosistema Digi ConnectCore de sistemas integrados en módulos (SOM) y ordenadores monoplaca (SBC), y se basa en Poky, la distribución de referencia del Proyecto Yocto. Incluye personalizaciones para el hardware de Digi, así como extensiones de software listas para usar que no forman parte del Proyecto Yocto estándar y que ayudan a que los productos lleguen al mercado con mayor rapidez.
Se admiten las siguientes plataformas Digi ConnectCore :
- Digi ConnectCore 91
- Digi ConnectCore MP25
- Digi ConnectCore 93
- Digi ConnectCore MP13
- Digi ConnectCore MP15
- Digi ConnectCore 8M Mini
- Digi ConnectCore 8M Nano
- Digi ConnectCore 6+
- Digi ConnectCore 8X
- Digi ConnectCore 6UL
- Digi ConnectCore 6/6N
Digi agradece la notificación transparente de vulnerabilidades y se compromete a resolverlas de forma oportuna. Además de los informes de los usuarios, Digi busca activamente vulnerabilidades mediante pruebas internas, análisis estáticos de código, pruebas de penetración independientes y evaluación de las próximas vulnerabilidades y exposiciones comunes (CVE). Estas pueden introducirse a través de un error en el diseño o desarrollo o (más comúnmente) a través de una vulnerabilidad que se descubre en una biblioteca de terceros integrada en el firmware o software del producto basado en DEY. Las vulnerabilidades pueden ser descubiertas a través de pruebas de firmware o software, reportadas públicamente como vulnerabilidades y exposiciones comunes, o descubiertas por una evaluación de seguridad independiente, un cliente u otra parte.
La política de Digi es evaluar rápidamente el impacto de cualquier vulnerabilidad notificada. Una vez evaluada la vulnerabilidad de acuerdo con el Sistema Común de Puntuación de Vulnerabilidades (CVSS 4.0), se pondrán a disposición pública de clientes y distribuidores los detalles de la vulnerabilidad, sus repercusiones y los plazos para su resolución.
Notificación de posibles vulnerabilidades
Se recomienda a los clientes o distribuidores que estén experimentando problemas de seguridad con productos DEY que informen del problema tan pronto como sea posible a través del formulario de seguridad de Digi. Cuando informe de una posible vulnerabilidad, incluya toda la información posible (incluido el número CVE si está disponible) sobre las circunstancias y el posible impacto.
Evaluación de las vulnerabilidades potenciales
Digi utiliza el Sistema Común de Puntuación de Vulnerabilidades (CVSS 4.0) en combinación con la clasificación de gravedad para evaluar las vulnerabilidades potenciales de las que se ha informado recientemente. La puntuación CVSS determinada refleja la amenaza potencial para la seguridad de la vulnerabilidad dentro del contexto del diseño de productos de Digi. El equipo de seguridad e ingeniería de Digi se reserva el derecho de reclasificar internamente la puntuación CVSS para determinar la probabilidad de impacto en nuestros productos en función de la implementación. Los clientes de Digi pueden realizar consultas sobre las evaluaciones CVE. Para ello, escriba una cadena de vectores utilizando CVSS 4.0 de la puntuación determinada por Digi y envíe la solicitud a Soporte de Digi.
Información y plazos de resolución
Estos plazos de resolución son para los paquetes de software desarrollados por Digi, como el paquete de soporte de la placa Digi ConnectCore (cargador de arranque, modificaciones del kernel de Linux) y las extensiones de software Digi Embedded Yocto que son mantenidas y propiedad de Digi.
La puntuación CVSS 4.0 se utiliza para priorizar y establecer objetivos de comunicación y resolución de la siguiente manera:
Gravedad |
CVSS 4.0 |
Objetivo de resolución |
Información fija |
Crítica |
9.0-10.0 |
Las correcciones se enviarán al repositorio público de GitHub lo antes posible, con un objetivo de resolución de 4 semanas. |
La información se publicará en el repositorio de GitHub y en el aviso de seguridad. |
Alta |
7.0-8.9 |
Las correcciones se enviarán al repositorio público de GitHub lo antes posible, con un objetivo de resolución de 8 semanas. |
La información se publicará en el repositorio GitHub. |
Medio |
4.0-6.9 |
Próxima versión importante |
Consulte las notas de la versión en la distribución DEY correspondiente. |
Menor |
N/A |
Futura publicación |
Consulte las notas de la versión en la distribución DEY correspondiente. |
Sin vulnerabilidad |
N/A |
N/A |
N/A |
Digi normalmente envía correcciones para vulnerabilidades "críticas" o de "alta" gravedad a los repositorios públicos de DEY antes de cualquier próximo lanzamiento de cualquier versión de DEY soportada activamente, y tras la finalización de la implementación y las pruebas. En ese caso, para que una corrección sea efectiva, la actualización a una versión DEY superior es obligatoria debido a las dependencias.
Resolución de posibles vulnerabilidades
Digi se toma muy en serio las vulnerabilidades de seguridad y se esfuerza por poner a disposición de los clientes y socios una resolución acorde con los objetivos de resolución para todos los productos actualmente en soporte. Para verificar qué productos ya no reciben soporte, visite el portal de clientes de Dig i para obtener una lista de notificaciones de cambio de producto (PCN) y anuncios de fin de vida útil (EOL).
Todas las resoluciones de software se entregan a través de nuestros canales de liberación estándar, que es a través de los repositorios públicos DEY en Digi International Inc. - Embedded. Las resoluciones de software relacionadas con la seguridad se ponen a disposición de todos los clientes, independientemente del estado de la garantía.
Recepción de información sobre posibles vulnerabilidades
Los clientes y socios pueden suscribirse a las alertas y notificaciones del Digi Security Center para recibir información sobre posibles vulnerabilidades que estén en proceso de evaluación o resolución.
Todas las partes suscritas al Digi Security Center recibirán avisos de seguridad sobre algunos puntos críticos y de alta gravedad que proporcionarán información detallada sobre las vulnerabilidades. También recibirán actualizaciones sobre todos los problemas que hayan notificado, independientemente del tipo, a través de nuestro portal de presentación de vulnerabilidades de seguridad o del portal de asistencia técnica.
Última actualización: Agosto 2024