选集具有强大的安全计划,旨在不仅防止安全问题出现,还可以将其扎根。选集在代码级别(静态分析)和应用程序级别(动态分析)中进行内部安全测试,以支持我们的合规目标。此外,为了定期注视我们的应用,选集从第三方安全供应商那里获得了安全渗透测试。任何确定的问题都是风险评估并确定要维修的。
选集的安全计划是一种日益成熟的实践。我们致力于持续改进,并推动选集产品中的安全功能和鲁棒性。
考虑到安全性
选集致力于向我们的客户提供安全的应用程序。选集根据许多组织(例如Open Web应用程序安全项目(OWASP))得出的一系列安全工程指南开发我们的产品,包括OWASP前十名漏洞的特定对策。选集将这些安全实践纳入软件开发生命周期(SDLC)的所有阶段。
选集遵循许多组织的最佳实践指导,以帮助加强我们的产品和计划的安全性。这里注意到一些组织:
- 国家标准技术研究所(NIST)
- SANS研究所
- 打开Web应用程序安全项目(OWASP)
- 互联网安全中心(CIS)
安全编码和OWASP前10个漏洞
选集产品是根据OWASP得出的一系列开发准则开发的,包括特定的对策 Owasp十大漏洞。
脆弱性管理承诺和披露政策
选集的脆弱性管理计划受这一面向公共脆弱性管理承诺和披露政策的约束。没有软件是完美的 - 如果在发布产品中确定安全漏洞,选集的安全团队就可以做出响应。
选集致力于根据脆弱性的风险仔细解决安全漏洞。这样的决议可能会导致为客户发布安全咨询和/或任何必要的产品更新。为了保护我们的客户及其数据,我们要求漏洞负责任地向我们报告,以便我们进行调查和回应。
选集的产品很复杂。它们运行于不同的硬件和软件配置,并连接到许多第三方应用程序。所有软件修改(BIG或小)都需要进行彻底的分析,以及多个产品线和版本的开发和实施。该软件还必须经过适合其范围,复杂性和严重性的本地化,可访问性和测试。鉴于我们的产品对客户的重要性至关重要,因此选集必须确保它们不仅在我们的测试设施中而且在客户环境中正确运行。因此,选集不能致力于针对特定时间表的产品更新,但我们致力于迅速工作。
恶意政党通常通过反向工程发布的安全咨询和产品更新来利用软件漏洞。对于客户而言,重要的是要及时更新软件并使用我们的严重性评级系统作为适当安排升级的指南。
测试安全漏洞
客户应针对我们产品的非生产实例进行所有漏洞测试,以最大程度地降低数据和服务的风险。
如何报告漏洞
秘密分享潜在脆弱性的细节 填写漏洞提交表格。
提供潜在脆弱性的详细信息,以便我们可以快速验证和重现该问题。没有上述信息,即使不是不可能解决潜在漏洞,可能很难。未经进一步澄清的报告将不会解决列出许多无细节的潜在漏洞的报告。详细信息应包括:
- 漏洞的类型;
- 这些信息是否已发布或与其他方共享;
- 受影响的产品和版本;
- 受影响的配置;和
- 分步说明或概念验证代码以复制该问题。
选集安全承诺
对于所有遵循本政策的漏洞记者,选集将做以下操作:
- 确认收到您的报告;
- 及时调查,并在可能的潜在脆弱性下确认;
- 提供一个计划和时间范围,以解决适当的情况;和
- 当解决漏洞时,通知漏洞记者。