Zebra Offenlegung von Schwachstellen
Zebra hat eine Standardpraxis zur Suche, Kommunikation und rechtzeitigen Behebung von Sicherheitsproblemen mit Produkten etabliert. Die Offenlegung von Schwachstellen ist ein wichtiger Bestandteil unseres Ansatzes zur Sicherheit durch Partnerschaft (Secure Through Partnership), in dessen Zusammenhang unsere Kunden Risiken durch Sensibilisierung und Anleitung korrekt managen können. Alle Sicherheitsbulletins und Benachrichtigungen zu Produkten von Zebra werden auf der Website Zebra-Sicherheitshinweise veröffentlicht.
1. Bericht
Zebra bearbeitet auch Schwachstellenberichte von Sicherheitsforschern, Kunden, Drittanbietern von Komponenten und anderen externen Gruppen, die eine Schwachstelle in einem Produkt bzw. einer Lösung von Zebra melden möchten (VDP-Berichtseite).
2. Triage
Zebra arbeitet mit dem Berichterstatter der jeweiligen Sicherheitslücke zusammen, um diese zu untersuchen und zu bestätigen. Nach der Validierung arbeitet das Team zum Schwachstellenmanagement von Zebra mit den Produkt-/Lösungsteams von Zebra zusammen, um das Ausmaß, den Schweregrad und die geeigneten Maßnahmen zur Behebung der Schwachstelle zu bestimmen.
3. Koordination
Zebra nimmt eine Risikobewertung vor und führt eine Validierungs- und Abhilfeplanung durch. Im Anschluss werden die Kunden durch eine oder mehrere der folgenden Methoden benachrichtigt:
- LifeGuard-Seite
- Versionshinweise
- Bulletin Drittanbieter-Support
- Bulletin Produktmarketing
4. Offenlegung
Im Rahmen der koordinierten Offenlegung von Sicherheitslücken veröffentlicht Zebra Benachrichtigungen auf der Seite mit Sicherheitshinweisen. Um größtmögliche Aufmerksamkeit zu gewährleisten, meldet Zebra Schwachstellen gegebenenfalls an MITRE, damit diese in die CVE-Liste (Common Vulnerabilities and Exposures) aufgenommen werden.