Raportoi tietoturva- tai tietosuojaongelmasta

Täytä kaikki tarvittavat tiedot lomakkeeseen, myös riittävät tiedot huolenaiheestasi. Luokittele huolesi seuraavasti:

  • ArcGIS-ohjelmistohaavoittuvuus – ilmoita ArcGIS Onlinessa tai Esrin tuotteessa havaitsemastasi haavoittuvuudesta.
  • Tietosuojaongelma: ArcGIS-ohjelmistotuote – jos sinulla on ongelma, joka liittyy sovellustemme (kuten ArcGIS Onlinen tai muun Esrin tarjoaman tuotteen) tietosuojaan.
  • Tietosuojaongelma: Esri-yhtiö – jos sinulla on ongelma, joka liittyy organisaatiomme (kuten markkinointimateriaalin tai yrityksen Esri.com-sivuston) tietosuojaan.
  • Tietosuojaongelma: Epäluotettava sivusto tai URL-osoite – ilmoita Esri-brändin väärinkäytöstä. Tämä sisältää myös harhaanjohtavat sivustot, joiden väitetään yhdistävän Esriin, murretun Esri-ohjelmiston toimittajat tai tietojenkalastelusivustot, joiden kohteena ovat Esrin asiakkaat tai työntekijät.
  • Muu – käytä tätä vaihtoehtoa kaikissa muissa tietoturvaan, tietosuojaan tai vaatimustenmukaisuuteen liittyvissä ongelmissa.

Yhteystietojasi käytetään vain antamiesi tietojen seurantaan.

Esri PSIRT antaa käyttöön julkisen PGP-avaimen tiimin kanssa viestintää varten. Käytä tätä avainta, kun annat tietoja ohjelmistoon liittyvistä haavoittuvuuksista Esrille.

Haavoittuvuuden raportointikäytäntö

PSIRT (Esri Product Security Incident Response Team) -tiimi tiedostaa itsenäisten tietoturvatutkijoiden tärkeän roolin Internetin tietoturvassa. Rohkaisemme vastuulliseen raportointiin kaikissa haavoittuvuustapauksissa, jotka havaitaan sivustollamme tai sovelluksissamme. Esri on sitoutunut työskentelemään yhdessä tietoturvayhteisön kanssa kaikkien raportoitujen potentiaalisten haavoittuvuuksien tarkistamisessa ja niihin reagoimisessa. Esri ei nosta syytettä tai vaadi tutkintaa osaltasi, jos noudatat tätä käytäntöä.

Esri ei salli seuraavan tyyppisiä tietoturvatutkimuksia

  • Palvelunestohyökkäystilanteiden (DoS) aiheuttaminen tai sellaisten yrittäminen.
  • Automatisoitujen tietoturvatyökalujen käyttö ilman Esrin erillistä suostumusta. Automatisoitujen työkalujen käyttö voi johtaa tutkintaan tai IP-osoitteesi tai -osoitteidesi estämiseen.
  • Sinulle kuulumattomien tietojen käyttäminen tai käytön yrittäminen.
  • Sinulle kuulumattomien tietojen tuhoaminen tai vahingoittainen tai sellaisen yrittäminen.

Tutkijat sekä CNA-juuri- ja alitoimijat:

  • Esri on Esri-ohjelmistotuotteiden CNA-toimija (CVE Numbering Authority).
  • Esri määrittää CVE-tunnisteita haavoittuvuuksille koordinoitujen haavoittuvuuksien paljastamista koskevien periaatteiden mukaisesti.
  • Esri julkaisee haavoittuvuuksia koskevia tiedotuksia, kun saatavilla on korjauksia tunnistetun haavoittuvuuden poistamiseen.
  • Korjaukset toimitetaan yleisen saatavuuden ja laajennetun tuen piiriin kuuluville ohjelmistoille Esrin tuotteiden elinkaaren mukaisesti.
  • Korjauksia ei toimiteta ohjelmistoille, jotka ovat poistuvassa tukivaiheessa tai vanhentuneessa tilassa.
  • Asiakkaiden, joilla on käytössä poistuvassa tukivaiheessa tai vanhentuneessa tilassa olevia ohjelmistoja, tulee päivittää ohjelmisto ajantasaiseen versioon niiden tietoturvahaavoittuvuuksien korjaamiseksi, joista on saatavilla korjauksia Esrin tuotteiden elinkaaren mukaisesti.

Kolmannen osapuolen komponentin haavoittuvaisuudet

Esrin ohjelmistot sisältävät usein kolmannen osapuolen tai avoimen lähdekoodin kirjastoja ja binaaritiedostoja. Ennen kuin lähetät pyynnön validoida, miten mahdollinen kolmannen osapuolen komponentin tietoturvaongelma vaikuttaa Esrin ohjelmistoon, lue ensin Esri's Third Party Component CVE response document, joka sijaitsee Dokumentit-välilehdellä.

PSIRT (Product Security Incident Response Team) -tiimin sitoumus

Kaikkien niiden tietoturvatutkijoiden osalta, jotka noudattavat tätä haavoittuvuuden raportointikäytäntöä, PSIRT-tiimi sitoutuu seuraavaan:

  • vastaa viipymättä ja kuittaa raporttisi vastaanotetuksi
  • antaa aika-arvion haavoittuvuuden ratkaisemiseen
  • ilmoittaa raportoijalle, kun haavoittuvuus on korjattu.
Osallistuvat tietoturvatutkijat

Haluamme kiittää seuraavia tietoturvatutkijoita osallistumisesta vastuulliseen raportointiohjelmaamme:

  • Smit B. Shah (@smitshah92)
  • Roberto S. Liverani
  • Or Peles (@peles_o)
  • Roee Hay (@roeehay)
  • Cameron Dawe (@Spam404Online)
  • Dan Kelley (@0x041AA)
  • Jesse Clark (@Hogarth45_ND)
  • Harry Taylor (@GordSchramm)
  • Eusebiu Blindu (@testalways)
  • Francesc Rodriguez (@0katz)
  • Faizan Ahmed
  • Christopher Schaefer
  • Christoph Kisfeld
  • Jimmy Bruneel (@tigerincup)
  • Ekzhin Ear
  • Almog Cygel @almogcygel
  • Gustavo Silva @silva95gustavo
  • Elwood Buck
  • Peter Davies
  • Kusol Watchara-Apanukorn
  • Francis Provencher {PRL}
  • Simon Zuckerbraun
  • rgod
  • Moaaz Taha
  • Mark Belbin
  • Pedro Pinho
  • Adam Willard
  • Greg Gibson
  • Theologos Kokkinellis
  • Andrew Salazar
  • Hussein Bahmad
  • Simone La Porta
  • David M. Chavez
  • Fredrik Ljung
  • Tran Van Khang
  • Philipp Mao
  • Felix Aeppli
  • David Green
  • Félix B
  • Yasser Gamal
  • Miguel Fale
  • Incibe
  • Seyavan
  • Félix Comtois-Boutet
  • Christophe Schleypen
  • Filip Waeytens
  • Christopher Robberts
  • Lekshman R
  • Justin Hocquel
  • Antonin B
  • Lucas Machado (@0x1ucxs)
  • Milos Savic
  • Ash King (@AshleyKingUK)
  • Adam Crompton (@3nc0d3r)
  • David Sardonini Jr.
  • Erez Kalman
  • Cláudia Picoito
Organisaatio Maa Kansainvälinen jälleenmyyjä Technical Account Manager (TAM)

Jos pyydät Esri-ohjelmiston automaattisen haavoittuvuuden tarkistuksen validointia, tutustu automaattista tarkistusta koskeviin ohjeisiin ja vaatimuksiin. Jos olet huolissasi ArcGISissa havaitusta kolmannen osapuolen komponentista, tutustu 3rd Party Component CVE response -sovellukseemme.
(Molemmat edellyttävät ArcGIS-kirjautumista.)
Jos kyseessä olevaa haavoittuvuutta ei löydy 3rd Party Component vulnerability CVE response -sovelluksella, tarkista, löytyykö ongelma US CISAn Known Exploitable Vulnerability (KEV) -luettelosta.
Tarkistukset, jotka eivät täytä näitä vaatimuksia, hylätään.

Lähetä