Anthology有一个强大的安全程序,它的设计不仅是为了防止安全问题的出现,而且是为了根除它们。Anthology为所选产品在代码级(静态分析)和应用程序级(动态分析)执行内部安全测试,以支持我们的遵从性目标。此外,为了定期获得应用程序的新视角,Anthology从第三方安全供应商那里获得安全渗透测试。对任何确定的问题进行风险评估,并优先进行修复。
Anthology的安全项目是一个不断成长和成熟的实践。我们致力于持续改进,并推动Anthology产品的安全功能和健壮性的标准。
考虑到安全而建造
Anthology致力于为客户提供安全的应用程序。Anthology根据许多组织(如开放Web应用程序安全项目(OWASP))派生的一套安全工程指南开发我们的产品,包括针对OWASP十大漏洞的具体对策。Anthology将这些安全实践整合到软件开发生命周期(SDLC)的所有阶段。
Anthology遵循来自许多组织的最佳实践指导,以帮助加强我们产品和程序的安全性。这里提到几个组织:
- 国家标准与技术研究所(NIST)
- SANS研究所
- 开放Web应用安全项目(OWASP)
- 互联网安全中心(CIS)
安全编码和OWASP十大漏洞
Anthology产品是根据一组来自OWASP的开发指南开发的,包括针对 的具体对策OWASP十大漏洞.
漏洞管理承诺和披露政策
Anthology的漏洞管理项目受本面向公众的漏洞管理承诺和披露政策的约束。没有软件是完美的——一旦在发布的产品中发现了安全漏洞,Anthology的安全团队已经做好了应对的准备。
Anthology致力于根据漏洞的风险仔细解决安全漏洞。此类解决方案可能导致发布安全咨询和/或为我们的客户提供任何所需的产品更新。为了保护我们的客户和他们的数据,我们要求负责任地和机密地向我们报告漏洞,以便我们可以调查和响应。
Anthology的产品很复杂。它们运行在不同的硬件和软件配置上,并连接到许多第三方应用程序。所有的软件修改——无论大小——都需要彻底的分析,以及跨多个产品线和版本的开发和实现。软件还必须进行本地化、可访问性和与其范围、复杂性和严重性相适应的测试。鉴于我们的产品对客户至关重要,Anthology必须确保它们不仅在我们的测试设施中正确运行,而且在客户环境中也正确运行。因此,Anthology不能承诺在特定的时间轴上更新产品,但我们致力于快速工作。
恶意方经常通过逆向工程发布的安全建议和产品更新来利用软件漏洞。对客户来说,及时更新软件和使用我们的严重性评级系统作为指导来适当地安排升级是很重要的。
测试安全漏洞
客户应针对我们产品的非生产实例进行所有漏洞测试,以将数据和服务的风险降至最低。
如何报告漏洞
请通过 分享潜在漏洞的详细信息填写漏洞提交表单.
提供潜在漏洞的详细信息,以便我们可以快速验证和重现问题。如果没有上述信息,可能很难(如果不是不可能)解决潜在的漏洞。在没有进一步澄清的情况下,将不会处理列出大量潜在漏洞而不详细说明的报告。细节应该包括:
- 类型的脆弱性;
- 该信息是否已发布或与其他方共享;
- 受影响的产品和版本;
- 受影响的配置;而且
- 逐步说明或概念验证代码,以再现问题。
选安全承诺
对于所有遵循本政策的漏洞记者,Anthology将采取以下措施:
- 确认收到你的报告;
- 及时调查,在可能的地方确认潜在的漏洞;
- 在适当的情况下,提供解决漏洞的计划和时间表;而且
- 当漏洞解决后,通知漏洞报告者。