Raportați o problemă de securitate sau de confidențialitate

Vă rugăm să introduceți în formular toate informațiile aplicabile, inclusiv detalii suficiente privind problema dvs. Clasificați problemele indicate în una dintre următoarele:

  • Vulnerabilitate ArcGIS Online - raportați o vulnerabilitate constatată în ArcGIS Online sau într-un produs Esri.
  • Problemă de confidențialitate: produs ArcGIS Software – dacă aveți o problemă de confidențialitate legată de aplicațiile noastre, precum ArcGIS Online sau un alt produs furnizat de Esri.
  • Problemă de confidențialitate: compania Esri – dacă aveți o problemă de confidențialitate referitoare la organizația noastră, precum materiale de marketing sau site-ul companiei Esri.com.
  • Problemă de confidențialitate: site sau URL nesigur - raportați abuzul asupra brandului Esri. Inclusiv domenii înșelătoare pretinse a fi asociate cu Esri, furnizori de software Esri spart sau site-uri de phishing care vizează clienții sau angajații Esri
  • Altele - pentru orice altă problemă legată de securitate, confidențialitate sau conformitate.

Detaliile dvs. de contact vor fi utilizate doar în vederea aprofundării informațiilor furnizate.

Echipa PSIRT a Esri furnizează o cheie PGP publică pentru a fi utilizată la comunicarea cu echipa noastră. Utilizați această cheie la furnizarea detaliilor despre vulnerabilitățile software-ului către Esri.

Politica de raportare a vulnerabilității

Echipa de răspuns la incidentele privind securitatea produselor Esri (PSIRT) recunoaște rolul important pe care cercetătorii independenți în domeniul securității îl joacă în securitatea pe Internet. Noi încurajăm raportarea responsabilă a oricărei vulnerabilități care ar putea fi întâlnită în site-ul sau aplicația noastră. Esri se angajează să colaboreze cu comunitatea din domeniul securității pentru a verifica și răspunde oricărei potențiale vulnerabilități care ne este raportată. Esri nu vă va da în judecată și nici nu va iniția vreo urmărire legală împotriva dvs. dacă respectați această politică.

Esri nu permite următoarele tipuri de verificări de securitate

  • Provocarea sau încercarea de provocare a unei stări de tip Denial of Service (DoS).
  • Utilizarea unor instrumente de securitate automatizate fără consimțământul explicit al Esri. Utilizarea unor instrumente automatizate poate conduce la acțiuni de investigare sau blocarea IP-urilor dvs.
  • Accesarea sau încercarea de accesare a unor date sau informații care nu vă aparțin.
  • Distrugerea sau coruperea sau încercarea de distrugere sau corupere a unor date sau informații care nu vă aparțin.

Cercetători, Rădăcină și CNA:

  • Esri este Autoritatea de numerotare CVE (CNA) de înregistrare din domeniul produselor Software Esri.
  • Esri alocă identificatori CVE pentru vulnerabilități cu respectarea recomandărilor privind divulgarea coordonată a vulnerabilităților.
  • Esri va publica indicații privind vulnerabilitățile atunci când sunt disponibile corecții care vizează vulnerabilitatea identificată.
  • Corecțiile sunt furnizate pentru software în Disponibilitate generală și Asistență extinsă conform ciclului de viață al produselor Esri.
  • Corecțiile nu sunt furnizate pentru software în starea asistență matură sau retras.
  • Clienții care utilizează software în starea matur sau retras ar trebui să facă upgrade la o versiune curentă de software pentru a remedia vulnerabilitățile de securitate care sunt corectate în conformitate cu ciclul de viață al produselor Esri.

Vulnerabilități ale componentelor terțe

Deseori, software-ul Esri conține biblioteci și binare din sursă deschisă sau terțe. Înainte de trimiterea unei cereri pentru a valida modul în care o potențială problemă de securitate dintr-o componentă terță afectează software-ul Esri, examinați Documentul cu răspunsul CVE privind componenta terță Esri care se află în fila Documente.

Angajamentul Echipei de răspuns la incidentele privind securitatea produselor

Față de toți cercetătorii din domeniul securității care respectă această Politică de raportare a vulnerabilităților, Echipa de răspuns la incidentele privind securitatea produselor se angajează:

  • să răspundă în timp util, confirmând primirea raportului dvs.,
  • să furnizeze o estimare a duratei de timp pentru tratarea acestei vulnerabilități,
  • să înștiințeze autorul raportului în momentul remedierii vulnerabilității.
Cercetători de securitate participanți

Dorim să mulțumim următorilor cercetători pentru participarea la programul nostru de raportare responsabilă:

  • Smit B. Shah (@smitshah92)
  • Roberto S. Liverani
  • Or Peles (@peles_o)
  • Roee Hay (@roeehay)
  • Cameron Dawe (@Spam404Online)
  • Dan Kelley (@0x041AA)
  • Jesse Clark (@Hogarth45_ND)
  • Harry Taylor (@GordSchramm)
  • Eusebiu Blindu (@testalways)
  • Francesc Rodriguez (@0katz)
  • Faizan Ahmed
  • Christopher Schaefer
  • Christoph Kisfeld
  • Jimmy Bruneel (@tigerincup)
  • Ekzhin Ear
  • Almog Cygel @almogcygel
  • Gustavo Silva @silva95gustavo
  • Elwood Buck
  • Peter Davies
  • Kusol Watchara-Apanukorn
  • Francis Provencher {PRL}
  • Simon Zuckerbraun
  • rgod
  • Moaaz Taha
  • Mark Belbin
  • Pedro Pinho
  • Adam Willard
  • Greg Gibson
  • Theologos Kokkinellis
  • Andrew Salazar
  • Hussein Bahmad
  • Simone La Porta
  • David M. Chavez
  • Fredrik Ljung
  • Tran Van Khang
  • Philipp Mao
  • Felix Aeppli
  • David Green
  • Félix B
  • Yasser Gamal
  • Miguel Fale
  • Incibe
  • Seyavan
  • Félix Comtois-Boutet
  • Christophe Schleypen
  • Filip Waeytens
  • Christopher Robberts
  • Lekshman R
  • Justin Hocquel
  • Antonin B
  • Lucas Machado (@0x1ucxs)
  • Milos Savic
  • Ash King (@AshleyKingUK)
  • Adam Crompton (@3nc0d3r)
  • David Sardonini Jr.
  • Erez Kalman
  • Cláudia Picoito

Dacă solicitați validarea unei scanări de vulnerabilitate automate pentru software Esri, consultați Îndrumarea pentru scanarea automată și cerințele. În cazul în care aveți preocupări cu privire la o componentă terță parte descoperită în ArcGIS, consultați aplicația noastră de răspunsuri CVS la componente terță parte.
(Ambele necesită conectarea la ArcGIS.)
În cazul în care vulnerabilitatea în cauză nu este găsită în aplicația de răspuns la vulnerabilități a componentelor terță parte, validați dacă problema este găsită în Catalogul cu vulnerabilități exploatabile cunoscute (KEV) al US CISA.
Scanările trimise fără îndeplinirea acestor condiții prealabile vor fi respinse.

Trimitere