Este site utiliza cookies. Ao continuar navegando no site, voc concorda com esse uso. Leia nossa pol tica de privacidade
Uma das nossas principais estrat gias de desenvolvimento apoiar a constru??o cont nua e a implementa??o completa de um "sistema global de garantia de seguran?a cibern tica de ponta a ponta". Diante disso, estabelecemos um sistema de gest?o de vulnerabilidades sustent vel e confi vel, abrangendo pol ticas, organiza??es, processos, gest?o, tecnologias e especifica??es. Al m disso, continuamos a enfrentar os desafios de forma aberta e em conjunto com stakeholders externos.
Para esclarecer a nossa posi??o b sica e planos sobre vulnerabilidades, listamos cinco princ pios b sicos para a gest?o de vulnerabilidades:
Reduzir ou eliminar os danos e riscos de seguran?a causados ??aos clientes/usu rios pelas vulnerabilidades dos produtos/servi?os da Huawei a nossa vis?o para o gerenciamento de vulnerabilidades e a diretriz que seguimos no tratamento e divulga??o de vulnerabilidades.
Apesar de ser consenso na ind stria o fato de que as vulnerabilidades s?o inevit veis, ainda assim nos esfor?amos para: (1) Tomar medidas para reduzir as vulnerabilidades nos nossos produtos e servi?os. (2) Fornecer prontamente mitiga??es de risco aos clientes/usu rios ap s serem encontradas vulnerabilidades em nossos produtos e servi?os.
As quest?es de vulnerabilidade t m de ser resolvidas em conjunto com os parceiros a montante e a jusante em toda a cadeia de abastecimento. Identificamos ativamente nossas responsabilidades e requisitos de gerenciamento de vulnerabilidades (incluindo leis/regulamentos aplic veis ??sobre opera??o comercial, requisitos contratuais e padr?es p blicos aplic veis) e constru mos um sistema para gerenciar vulnerabilidades de forma proativa.
As amea?as evoluem continuamente, o que significa que a seguran?a cibern tica um processo em constante evolu??o, no qual os defensores precisam inovar constantemente. Continuaremos a otimizar nossos processos e padr?es de gest?o de vulnerabilidades, aprender com os padr?es e melhores pr ticas do setor e melhorar nossa maturidade em gest?o de vulnerabilidades.
Continuaremos a manter uma atitude aberta e cooperativa para fortalecer a nossa liga??o com a cadeia de abastecimento e o ecossistema de seguran?a externo, incluindo os nossos parceiros a montante e a jusante na cadeia de abastecimento, investigadores de seguran?a, empresas de seguran?a e reguladores de seguran?a. Nos nossos esfor?os de gest?o de vulnerabilidades, ampliaremos a colabora??o com as partes interessadas e construiremos parcerias confi veis.
Em conformidade com esses princ pios e com os padr?es da ind stria ISO/IEC 30111, ISO/IEC 29147 e ISO/SAE 21434, estabelecemos um processo robusto de gerenciamento de vulnerabilidades. Sempre defendemos as nossas responsabilidades e nos esfor?amos para fazer todos os esfor?os poss veis para proteger os clientes e reduzir os riscos causados ??pela explora??o de vulnerabilidades.
Estamos empenhados em melhorar a seguran?a dos nossos produtos para apoiar totalmente as opera??es seguras das redes e servi?os dos clientes. Sempre atribu mos grande import?ncia ao gerenciamento de vulnerabilidades no desenvolvimento e manuten??o de produtos e estabelecemos um processo robusto de tratamento de vulnerabilidades, baseado nos padr?es ISO/IEC 30111 e ISO/IEC 29147, para melhorar a seguran?a do produto e garantir uma resposta oportuna s vulnerabilidades.
Tomar conhecimento das vulnerabilidades imediatamente um pr -requisito cr tico para uma resposta oportuna. Incentivamos pesquisadores de seguran?a, organiza??es do setor, clientes e fornecedores a relatarem proativamente suspeitas de vulnerabilidades ao nosso PSIRT e exigimos que os fornecedores upstream nos relatem prontamente as vulnerabilidades nos produtos. Enquanto isso, monitoramos proativamente bancos de dados de vulnerabilidades p blicas bem conhecidas, comunidades de c digo aberto, sites de seguran?a e outras fontes para detectar rapidamente vulnerabilidades relacionadas aos produtos Huawei. Gerenciamos todas as vulnerabilidades suspeitas que conhecemos e investigamos o impacto em todas as vers?es de produtos que n?o atingiram o fim do servi?o e suporte (EOS). Com base nas melhores pr ticas do setor, recomendamos fortemente que os clientes revisem regularmente a disponibilidade do suporte ao produto para garantir que tenham direito a atualiza??es de software.
Depois de receber qualquer suspeita de vulnerabilidade, nosso PSIRT trabalhar com a equipe de produto relevante para analisar/validar a vulnerabilidade, avaliar sua gravidade com base em seu impacto real nos produtos, determinar sua prioridade de corre??o e desenvolver corre??es (incluindo mitiga??es, patches/vers?es e outras mitiga??es de risco que podem ser implementadas pelos clientes). Seguindo os princ pios de redu??o de danos e riscos, divulgamos informa??es sobre vulnerabilidades s partes interessadas e ajudamos os clientes a avaliar os riscos reais de vulnerabilidades nas suas redes.
Ao descobrir vulnerabilidades nos produtos ou servi?os vindas de um fornecedor durante o desenvolvimento, entrega e implanta??o do produto, entraremos em contato proativamente com o fornecedor para corre??o da vulnerabilidade. Para vulnerabilidades de software de c digo aberto, cumprimos as pol ticas de gest?o de vulnerabilidades das comunidades de c digo aberto, submetemos vulnerabilidades suspeitas s comunidades, promovemos as comunidades para liberar remedia??es em tempo h bil e contribu mos ativamente com nossas remedia??es para as comunidades.
Nosso PSIRT coordenar com os rep rteres para lidar com as vulnerabilidades. Podemos atuar como coordenadores ou contratar um centro de coordena??o terceirizado para transferir informa??es sobre vulnerabilidades a outros fornecedores e organiza??es de padr?es para promover a resolu??o de vulnerabilidades. Se a vulnerabilidade envolver protocolos padr?o, recomendado que o relator notifique as organiza??es do setor ao report -la ao nosso PSIRT. Por exemplo, vulnerabilidades relacionadas aos protocolos 3GPP podem ser relatadas ao programa de Divulga??o Coordenada de Vulnerabilidades (CVD) da GSMA..
Aderindo ao princ pio da otimiza??o cont nua, melhoraremos continuamente a seguran?a do nosso produto e o processo de tratamento de vulnerabilidades.
Durante todo o processo de tratamento de vulnerabilidades, nosso PSIRT garante estritamente que as informa??es de vulnerabilidade sejam transferidas apenas entre manipuladores relevantes. Solicitamos sinceramente que se mantenha as informa??es confidenciais at que uma solu??o completa esteja dispon vel para nossos clientes.
Tomaremos as medidas necess rias e razo veis ??para proteger os dados obtidos com base nos requisitos de conformidade legal. N?o compartilharemos ou divulgaremos proativamente os dados a terceiros, a menos que exigido de outra forma por lei ou pelo cliente afetado.
Avaliamos a gravidade das vulnerabilidades suspeitas em nossos produtos com base nos padr?es do setor. Tomemos como exemplo o Common Vulnerability Scoring System (CVSS). Ele composto por tr s grupos de m tricas: Base, Temporal e Ambiental. Geralmente fornecemos a pontua??o base e, em alguns casos, fornecemos a pontua??o temporal e a pontua??o ambiental de cen rios t picos. Incentivamos os usu rios finais a avaliar a pontua??o ambiental real com base nas condi??es de sua rede. Essa pontua??o usada como pontua??o final de vulnerabilidade no ambiente espec fico para apoiar a tomada de decis?es sobre a implanta??o de mitiga??o de vulnerabilidades.
Na Huawei Cloud, as vulnerabilidades s?o priorizadas com base no resultado da avalia??o de risco de explora??o de vulnerabilidades. Na BU de Solu??es Automotivas Inteligentes (IAS), as gravidades das vulnerabilidades s?o avaliadas com base no impacto real nos produtos de acordo com a ISO/SAE 21434, e as prioridades de remedia??o de vulnerabilidades s?o determinadas com base em suas gravidades.
Diferentes padr?es s?o adotados em diferentes setores. Usamos o Security Severity Rating (SSR) como uma forma mais simples de classificar vulnerabilidades. Com o SSR, podemos classificar as vulnerabilidades como cr ticas, altas, m dias, baixas e informativas com base na pontua??o geral de gravidade.
Considerando v rios cen rios em que software/componentes de terceiros s?o integrados em nossos produtos de diferentes maneiras, ajustaremos as pontua??es de vulnerabilidade de software/componentes de terceiros com base em cen rios espec ficos para refletir o impacto real das vulnerabilidades. Por exemplo, se o m dulo afetado no software/componente de terceiros n?o for chamado, a vulnerabilidade ser considerada “n?o explor vel e n?o ter impacto”. Se uma dimens?o n?o estiver coberta no sistema de avalia??o existente, a Huawei ser respons vel pela interpreta??o do resultado da avalia??o.
Consideramos uma vulnerabilidade de alto perfil quando todas as seguintes condi??es s?o atendidas:
Para uma vulnerabilidade de terceiros de alto perfil, investigaremos todas as vers?es do produto que n?o atingiram o EOS e lan?aremos um aviso de seguran?a (SN) dentro de 24 horas ap s a vulnerabilidade ser confirmada como de alto perfil para notificar os clientes relacionados sobre o progresso do tratamento. Quando uma mitiga??o de vulnerabilidade estiver dispon vel, lan?aremos um comunicado de seguran?a (SA) para apoiar os clientes na tomada de decis?es e mitiga??o de riscos. Para vulnerabilidades de terceiros que n?o s?o classificadas como de alto perfil, n s as descrevemos nas notas de vers?o (RNs).
Divulgamos informa??es sobre vulnerabilidades e solu??es nas seguintes publica??es:
A Huawei lan?a SAs e SNs para manter os clientes informados sobre informa??es de corre??o de vulnerabilidades. Os RNs fazem parte das entregas lan?adas com uma vers?o/patch do produto e os clientes podem obt -los junto com a vers?o/patch do produto.
Se uma ou mais das seguintes condi??es forem atendidas, lan?aremos um SN ou SA para facilitar aos clientes a tomada de decis?es sobre riscos de rede ativa.
Para melhor ajudar os clientes a desenvolver seus planos de implanta??o de patches e avaliar os riscos, lan?amos SAs regularmente ( s quartas-feiras). Al m disso, liberamos SAs fora deste cronograma nos seguintes casos (n?o exaustivos):
Observa??o: para a Huawei Cloud, divulgaremos informa??es sobre vulnerabilidades e solu??es de corre??o com refer ncia ao White Paper de seguran?a da Huawei Cloud. Para produtos de consumo, geralmente divulgamos informa??es sobre vulnerabilidades e solu??es de remedia??o em boletins de rotina.
O gerenciamento de vulnerabilidades baseado em marcos do ciclo de vida de vers?es de produtos/software. A Huawei PSIRT gerencia as vulnerabilidades de todos os produtos/vers?es antes que cheguem ao EOS. A corre??o da vulnerabilidade fornecida antes do Fim do Suporte Total (EOFS). Vulnerabilidades cujo SSR cr tico ou alto s?o corrigidas conforme apropriado ap s o EOFS. Uma equipe de produto pode usar marcos que n?o est?o definidos nesta pol tica. Para obter detalhes sobre o suporte corre??o de vulnerabilidades em outros marcos, consulte a documenta??o espec fica do produto.
Voc pode mitigar os riscos de vulnerabilidade corrigindo ou atualizando para uma nova vers?o de produto/software de acordo com o contrato. Voc s pode obter e usar vers?es de software que tenham licen?as v lidas (ativadas na rede ativa). Os produtos/vers?es que t m vulnerabilidades corrigidas n?o d?o aos clientes o direito a novas licen?as de software, outras fun??es/recursos de software ou atualiza??es de vers?es principais. Voc pode entrar em contato com os engenheiros de suporte da Huawei ou com o TAC para obter vers?es ou patches:
Se voc cliente da Huawei Carrier BG, clique aqui.
Se voc cliente da Huawei Enterprise BG, clique aqui.
Se voc cliente da Huawei Consumer BG, pode realizar uma atualiza??o online ou clicar aqui.
Se voc cliente da Huawei Cloud, clique aqui.
Se voc cliente da HiSilicon (Xangai), clique aqui.
Se voc for cliente do Huawei Enterprise BG, consulte a Pol tica de Fim de Vida do Produto (https://support.huawei.com/enterprise/en/warranty-policy) do Enterprise BG para saber detalhes sobre a corre??o de vulnerabilidades no produto vida til. Para obter detalhes sobre os recursos de corre??o de vulnerabilidades de produtos ou vers?es de software espec ficos, consulte os boletins de ciclo de vida do produto clicando aqui.
Se este documento estiver dispon vel em v rios idiomas, a vers?o chinesa prevalecer . A pol tica descrita neste documento n?o constitui garantias, compromissos ou partes contratuais. A Huawei poder ajust -lo conforme apropriado.
Reservamo-nos o direito de alterar ou atualizar este documento a qualquer momento, conforme necess rio para aumentar a transpar ncia ou responder de forma mais ativa. Exemplos de atualiza??es incluem:
? medida que altera??es nesta pol tica forem publicadas, revisaremos a “Data de atualiza??o” na parte inferior desta pol tica.
A tabela a seguir lista as defini??es usadas nesta pol tica.
Atualizado em 2022.1.18