Zgłaszanie problemu dotyczącego bezpieczeństwa lub ochrony prywatności

W formularzu podaj wszystkie stosowne informacje, w tym wystarczająco dużo szczegółowych informacji dotyczących problemu. Sklasyfikuj problem, zaliczając go do jednej z następujących kategorii:

  • ArcGIS Software Vulnerability – zgłoszenie luki w zabezpieczeniach znalezionej w usłudze ArcGIS Online lub produkcie Esri.
  • Problem związany z ochroną prywatności: oprogramowanie ArcGIS — w przypadku problemu związanego z ochroną prywatności w naszych aplikacjach, takich jak usługa ArcGIS Online lub inny produkt firmy Esri.
  • Problem związany z ochroną prywatności: korporacja Esri — w przypadku problemu związanego z ochroną prywatności w naszej instytucji, np. w materiałach marketingowych lub w korporacyjnej witrynie internetowej firmy Esri.
  • Problem związany z ochroną prywatności: Niebezpieczna strona lub adres URL – zgłoszenie naruszenia dotyczącego marki Esri. W tym wprowadzające w błąd domeny, które rzekomo mają być powiązane z Esri, dostawcy kradzionego oprogramowania Esri lub witryny phishingowe, których celem są klienci lub pracownicy Esri.
  • Inne — w przypadku innych problemów związanych z bezpieczeństwem, ochroną prywatności lub zgodnością.

Twoje dane kontaktowe zostaną wykorzystane wyłącznie w celu podjęcia dalszych działań w związku z podanymi przez Ciebie informacjami.

Zespół reagowania na incydenty naruszenia bezpieczeństwa produktów firmy Esri udostępnia publiczny klucz PGP na potrzeby komunikacji z naszym zespołem. Prosimy o korzystanie z tego klucza podczas przekazywania firmie Esri szczegółów dotyczących luk w zabezpieczeniach w oprogramowaniu.

Zasady zgłaszania luk w zabezpieczeniach

Zespół reagowania na incydenty naruszenia bezpieczeństwa produktów firmy Esri docenia rolę, jaką niezależni badacze zajmujący się bezpieczeństwem odgrywają w zapewnianiu bezpieczeństwa w Internecie. Zachęcamy do odpowiedzialnego zgłaszania wszelkich luk w zabezpieczeniach znalezionych w naszej witrynie lub aplikacji. Firma Esri zobowiązuje się do współpracy ze społecznością użytkowników zajmujących się bezpieczeństwem w celu weryfikacji wszelkich potencjalnych luk w zabezpieczeniach, które są nam zgłaszane i reagowania na nie. Firma Esri nie wniesie pozwu sądowego ani nie rozpocznie dochodzenia prawnego przeciwko użytkownikowi, który będzie przestrzegał niniejszych zasad.

Firma Esri nie zezwala na następujące typy badań dotyczących bezpieczeństwa

  • Wywołanie lub próba wywołania ataku DoS (Denial of Service).
  • Korzystanie ze zautomatyzowanych narzędzi do badania bezpieczeństwa bez wyraźnej zgody firmy Esri. Korzystanie ze zautomatyzowanych narzędzi może skutkować podjęciem działań dochodzeniowych lub zablokowaniem Twojego adresu IP.
  • Uzyskiwanie dostępu lub próby uzyskania dostępu do danych i informacji, które do Ciebie nie należą.
  • Niszczenie lub uszkadzanie albo próba zniszczenia lub uszkodzenia danych i informacji, które do Ciebie nie należą.

Naukowcy, CNA główne i podrzędne:

  • Esri jest organem nadającym numery CVE (CNA) dla produktów będących Oprogramowaniem Esri.
  • Esri przypisuje identyfikatory CVE lukom w zabezpieczeniach zgodnie ze skoordynowanymi wytycznymi dotyczącymi ujawniania luk w zabezpieczeniach.
  • Esri będzie publikować komunikaty dotyczące luk w zabezpieczeniach, gdy dostępne będą poprawki usuwające zidentyfikowane luki.
  • Poprawki są dostarczane dla oprogramowania na etapach ogólnej dostępności i przedłużonej obsługi technicznej w ramach cyklu życia produktu Esri.
  • Poprawki nie są dostarczane dla oprogramowania w fazie wsparcia dla produktów dojrzałych ani oprogramowania wycofanego.
  • Klienci korzystający z oprogramowania w fazie wsparcia dla produktów dojrzałych lub oprogramowania wycofanego powinni aktualizować oprogramowanie do aktualnej wersji w celu usunięcia luk w zabezpieczeniach, które są usuwane zgodnie z cyklem życia produktu Esri.

Luki w zabezpieczeniach komponentów innych firm

Oprogramowanie firmy Esri często zawiera biblioteki i pliki binarne typu Open Source lub należące do innych podmiotów. Przed zgłoszeniem wniosku z prośbą o sprawdzenie, w jaki sposób potencjalny problem z bezpieczeństwem w komponencie innej firmy wpływa na oprogramowanie firmy Esri, zapoznaj się z dokumentem przedstawiającym reakcje firmy Esri na najczęstsze luki w zabezpieczeniach i zagrożenia w komponentach innych firm dostępnym na karcie Dokumenty.

Zobowiązanie Zespołu reagowania na incydenty naruszenia bezpieczeństwa produktów

W przypadku wszystkich badaczy, którzy przestrzegają niniejszych Zasad zgłaszania luk w zabezpieczeniach, Zespół reagowania na incydenty naruszenia bezpieczeństwa produktów zobowiązuje się do następujących działań:

  • Zareagować w rozsądnym czasie, potwierdzając otrzymanie zgłoszenia.
  • Podać szacunkowy czas usunięcia danej luki w zabezpieczeniach.
  • Powiadomić osobę zgłaszającą o usunięciu luki w zabezpieczeniach.
Osoby uczestniczące w badaniu bezpieczeństwa

Chcielibyśmy podziękować następującym osobom zajmującym się badaniem bezpieczeństwa za udział w naszym programie odpowiedzialnego zgłaszania problemów:

  • Smit B. Shah (@smitshah92)
  • Roberto S. Liverani
  • Or Peles (@peles_o)
  • Roee Hay (@roeehay)
  • Cameron Dawe (@Spam404Online)
  • Dan Kelley (@0x041AA)
  • Jesse Clark (@Hogarth45_ND)
  • Harry Taylor (@GordSchramm)
  • Eusebiu Blindu (@testalways)
  • Francesc Rodriguez (@0katz)
  • Faizan Ahmed
  • Christopher Schaefer
  • Christoph Kisfeld
  • Jimmy Bruneel (@tigerincup)
  • Ekzhin Ear
  • Almog Cygel @almogcygel
  • Gustavo Silva @silva95gustavo
  • Elwood Buck
  • Peter Davies
  • Kusol Watchara-Apanukorn
  • Francis Provencher {PRL}
  • Simon Zuckerbraun
  • rgod
  • Moaaz Taha
  • Mark Belbin
  • Pedro Pinho
  • Adam Willard
  • Greg Gibson
  • Theologos Kokkinellis
  • Andrew Salazar
  • Hussein Bahmad
  • Simone La Porta
  • David M. Chavez
  • Fredrik Ljung
  • Tran Van Khang
  • Philipp Mao
  • Felix Aeppli
  • David Green
  • Félix B
  • Yasser Gamal
  • Miguel Fale
  • Incibe
  • Seyavan
  • Félix Comtois-Boutet
  • Christophe Schleypen
  • Filip Waeytens
  • Christopher Robberts
  • Lekshman R
  • Justin Hocquel
  • Antonin B
  • Lucas Machado (@0x1ucxs)
  • Milos Savic
  • Ash King (@AshleyKingUK)
  • Adam Crompton (@3nc0d3r)
  • David Sardonini Jr.
  • Erez Kalman
  • Cláudia Picoito

W przypadku prośby o zatwierdzenie automatycznego skanowania podatności na zagrożenia w oprogramowaniu Esri prosimy o zapoznanie się z naszymi wytycznymi i wymaganiami dotyczącymi automatycznego skanowania. Jeśli masz obawy dotyczące komponentu innej firmy wykrytego w systemie ArcGIS, zapoznaj się z naszą aplikacją reagowania na CVE komponentu innej firmy.
(Oba wymagają logowania do systemu ArcGIS).
Jeśli dana luka nie zostanie znaleziona w aplikacji reagowania na luki w komponentach innych firm, sprawdź, czy błąd znajduje się w katalogu znanych luk w zabezpieczeniach (KEV) US CISA.
Skany przesłane bez spełnienia tych warunków wstępnych zostaną odrzucone.

Prześlij