Bir Güvenlik veya Gizlilik Sorununu Bildirin

Lütfen, özel sorununuza dair yeterli ölçüde ayrıntı da dahil olmak üzere formu, tüm gerekli bilgilerle doldurun. Sorununuzu aşağıdakilerden biri ile sınıflandırın:

  • ArcGIS Yazılım Güvenlik açığı - ArcGIS Online veya bir Esri Ürününde bulunan güvenlik açığını bildirin.
  • Gizlilik Sorunu: ArcGIS Yazılım Ürünü - ArcGIS Online veya Esri'nin sağladığı başka bir uygulama ile ilgili bir gizlilik sorununuz varsa.
  • Gizlilik Sorunu: Esri Kurumsal - Pazarlama materyalleri veya Esri.com kurumsal web sitesi gibi, kuruluşumuzla ilgili gizlilik sorunlarınız varsa.
  • Gizlilik Sorunu: Güvenli Olmayan Site veya URL - Esri markasının istismar edildiği durumları bildirin. Buna, Esri'ye bağlantı veriyor gibi görünen yanlış yönlendirici domainler, korsan Esri yazılımı sağlayıcıları veya Esri müşterileri veya çalışanlarını hedefleyen kimlik hırsızlığı siteleri dahildir.
  • Diğer - tüm diğer güvenlik, gizlilik veya uyumlulukla ilgili sorunlar.

İletişim bilgileriniz, sadece verdiğiniz bilgileri takip etmek için kullanılacaktır.

Esri PSIRT, ekibinizle iletişim kurarken kullanım için bir genel PGP anahtarı sağlar. Esri'ye yazılım güvenlik açıklarının ayrıntılarını sağlarken lütfen bu anahtarı kullanın.

Güvenlik Açığı Bildirim Politikası

Esri Ürün Güvenlik Olayı Müdahale Ekibi (PSIRT), bağımsız güvenlik araştırmacılarının İnternet güvenliğinde önemli bir rol oynadığını kabul eder. Sitemizde veya uygulamamızda bulunabilecek tüm güvenlik açıklarının sorumlu bir şekilde rapor edilmesini teşvik ediyoruz. Esri, bildirilen olası güvenlik açıklarını doğrulamak ve bunlara müdahale etmek için güvenlik topluluğuyla birlikte çalışmaya kararlıdır. Esri, bu politikaya uyulması halinde hakkınızda dava açmayacak ya da yasal yaptırım soruşturmasına başlamayacaktır.

Esri, aşağıdaki türlerde güvenlik araştırmalarına izin vermez

  • Bir Hizmet Engelleme (DoS) durumuna neden olmak veya buna neden olmaya çalışmak.
  • Esri'nin açık izni olmadan otomatik güvenlik araçları kullanmak. Otomatik araçların kullanılması, soruşturma faaliyetine veya IP'lerinizin engellenmesine neden olabilir.
  • Size ait olmayan verilere veya bilgilere erişmek veya erişmeye çalışmak.
  • Size ait olmayan verileri veya bilgileri yok etmek veya bozmak veya yok etmeye veya bozmaya çalışmak.

Araştırmacılar, Kök ve Alt CNA'lar:

  • Esri, Esri Yazılım ürünlerinin kapsamı için kayıtlı CVE Numaralandırma Otoritesi'dir (CNA).
  • Esri, koordineli güvenlik açığı açıklama yönergelerine uygun olarak güvenlik açıklarına CVE tanımlayıcıları atar.
  • Esri, tespit edilen güvenlik açığını gideren yamalar hazır olduğunda güvenlik açığına ilişkin uyarılar yayınlayacaktır.
  • Esri'nin ürün yaşam döngüsü kapsamında Genel kullanılabilirlik ve Genişletilmiş destek altındaki yazılımlar için yamalar sağlanmaktadır.
  • Olgun destek veya kullanımdan kaldırılmış durumdaki yazılımlar için yamalar sağlanmaz.
  • Olgun veya kullanımdan kaldırılmış durumda olan yazılımları kullanan müşteriler, Esri'nin ürün yaşam döngüsüne uygun olarak düzeltilen güvenlik açıklarını gidermek için güncel yazılım versiyonuna yükseltme yapmalıdır.

Üçüncü Parti Bileşeni Güvenlik Açıkları

Esri Yazılımı çeşitli üçüncü parti veya açık kaynaklı kütüphaneler ve ikili dosyalar içerir. Bir üçüncü parti bileşendeki olası bir güvenlik açığının Esri yazılımını nasıl etkilediğini doğrulamak amacıyla bir talep göndermeden önce lütfen Belgeler sekmesinde bulunan Esri'nin Üçüncü Parti Bileşeni CVE yanıt belgesini inceleyin.

Ürün Güvenlik Olayı Müdahale Ekibinin taahhüdü

Ürün Güvenlik Olayı Müdahale Ekibi, bu Güvenlik Açığı Bildirim Politikasına uyan tüm güvenlik araştırmacılarına aşağıdakileri taahhüt eder:

  • Raporunuzu aldığınızı onaylayarak zamanında müdahale etmek.
  • Söz konusu güvenlik açığını gidermek için tahmini bir zaman çerçevesi belirlemek.
  • Güvenlik açığı giderildiğinde bildirimde bulunan kişiyi bilgilendirmek.
Katılımcı Güvenlik Araştırmacıları

Sorumlu bildirim programımıza katıldıkları için aşağıdaki güvenlik araştırmacılarına teşekkür etmek isteriz:

  • Smit B. Shah (@smitshah92)
  • Roberto S. Liverani
  • Or Peles (@peles_o)
  • Roee Hay (@roeehay)
  • Cameron Dawe (@Spam404Online)
  • Dan Kelley (@0x041AA)
  • Jesse Clark (@Hogarth45_ND)
  • Harry Taylor (@GordSchramm)
  • Eusebiu Blindu (@testalways)
  • Francesc Rodriguez (@0katz)
  • Faizan Ahmed
  • Christopher Schaefer
  • Christoph Kisfeld
  • Jimmy Bruneel (@tigerincup)
  • Ekzhin Ear
  • Almog Cygel @almogcygel
  • Gustavo Silva @silva95gustavo
  • Elwood Buck
  • Peter Davies
  • Kusol Watchara-Apanukorn
  • Francis Provencher {PRL}
  • Simon Zuckerbraun
  • rgod
  • Moaaz Taha
  • Mark Belbin
  • Pedro Pinho
  • Adam Willard
  • Greg Gibson
  • Theologos Kokkinellis
  • Andrew Salazar
  • Hussein Bahmad
  • Simone La Porta
  • David M. Chavez
  • Fredrik Ljung
  • Tran Van Khang
  • Philipp Mao
  • Felix Aeppli
  • David Green
  • Félix B
  • Yasser Gamal
  • Miguel Fale
  • Incibe
  • Seyavan
  • Félix Comtois-Boutet
  • Christophe Schleypen
  • Filip Waeytens
  • Christopher Robberts
  • Lekshman R
  • Justin Hocquel
  • Antonin B
  • Lucas Machado (@0x1ucxs)
  • Milos Savic
  • Ash King (@AshleyKingUK)
  • Adam Crompton (@3nc0d3r)
  • David Sardonini Jr.
  • Erez Kalman
  • Cláudia Picoito

Esri Yazılımları için otomatik bir güvenlik açığı taramasının doğrulamasını talep ediyorsanız Otomatik Tarama Kılavuzu ve gereksinimleri belgemize gözatın. ArcGIS'te keşfedilen bir üçüncü parti bileşen hakkında endişeleriniz varsa, lütfen Üçüncü Parti Bileşen CVE yanıtlama uygulamamızı inceleyin.
(Her ikisi de ArcGIS Oturumu Açmayı gerektirir.)
Söz konusu güvenlik açığı üçüncü parti bileşen güvenlik açığı yanıtlama uygulamasında bulunmazsa, lütfen sorunun ABD CISA'nın Bilinen İstismara Açık Güvenlik Açığı (KEV) Kataloğunda bulunup bulunmadığını doğrulayın.
Bu ön koşulları karşılamadan gönderilen taramalar reddedilecektir.

Gönder