Anthology有一个强大的安全程序,不仅可以防止安全问题的出现,而且可以根除它们。Anthology在代码级(静态分析)和应用级(动态分析)对选定的产品进行内部安全测试,以支持我们的合规目标。此外,为了定期对我们的应用程序进行新鲜的观察,Anthology从第三方安全供应商获得了安全渗透测试。对发现的任何问题进行风险评估并确定修复的优先级。
Anthology的安全项目正在不断发展和成熟。我们致力于不断改进和推动Anthology产品的安全特性和健壮性。
构建时考虑到安全性
Anthology致力于为客户提供安全的应用程序。Anthology根据一系列安全工程指导方针开发我们的产品,这些指导方针来自许多组织,比如开放Web应用程序安全项目(OWASP),包括针对OWASP十大漏洞的具体对策。Anthology将这些安全实践整合到软件开发生命周期(SDLC)的所有阶段。
Anthology遵循来自许多组织的最佳实践指导,以帮助加强我们产品和程序的安全性。这里注意到几个组织:
- 国家标准与技术研究所(NIST)
- SANS研究所
- 开放网页应用程式保安计划(OWASP)
- 互联网安全中心(CIS)
安全编码和OWASP十大漏洞
Anthology产品是根据来自OWASP的一组开发指南开发的,其中包括针对 的具体对策OWASP十大漏洞.
漏洞管理承诺和披露策略
Anthology的漏洞管理程序由这个面向公众的漏洞管理承诺和披露政策管理。没有一个软件是完美的——如果在发布的产品中发现了安全漏洞,Anthology的安全团队会随时响应。
Anthology致力于根据漏洞的风险仔细解决安全漏洞。此类决议可能导致我们的客户发布安全咨询和/或任何必要的产品更新。为了保护我们的客户和他们的数据,我们要求漏洞负责任地和保密地报告给我们,以便我们可以调查和回应。
Anthology的产品很复杂。它们运行在不同的硬件和软件配置上,并连接到许多第三方应用程序。所有的软件修改——大的或小的——都需要彻底的分析,以及跨多个产品线和版本的开发和实现。软件还必须经过本地化、可访问性,以及适合其范围、复杂性和严重性的测试。鉴于我们的产品对我们的客户至关重要,Anthology必须确保它们不仅在我们的测试设施中,而且在客户环境中正确运行。因此,Anthology不能承诺在特定的时间内更新产品,但我们承诺迅速工作。
恶意方经常通过反向工程发布的安全警告和产品更新来利用软件漏洞。对于客户来说,及时更新软件并使用我们的严重性评级系统作为适当安排升级的指南是很重要的。
测试安全漏洞
客户应该针对我们产品的非生产实例进行所有的漏洞测试,以最大限度地减少对数据和服务的风险。
如何报告漏洞
通过 秘密分享潜在漏洞的详细信息填写漏洞提交表单.
请提供潜在漏洞的详细信息,以便我们快速验证和重现问题。如果没有上述信息,可能很难(如果不是不可能的话)解决潜在的漏洞。如果没有进一步说明,列出大量潜在漏洞而没有详细说明的报告将不予处理。细节应该包括:
- 类型的脆弱性;
- 该等资料是否已公布或与其他人士分享;
- 受影响的产品和版本;
- 受影响的配置;而且
- 逐步说明或概念验证代码来重现问题。
选安全承诺
所有遵循这一政策的脆弱性记者,选集将做以下工作:
- 确认收到你的报告;
- 及时调查,确认可能存在的潜在漏洞;
- 提供解决漏洞的计划和时间框架(如适用);而且
- 当漏洞被解决时通知漏洞报告者。