Сообщить об уязвимости компьютера или программного обеспечения OSIsoft

OSIsoft расследует все сообщения об уязвимостях в системе безопасности, влияющих на продукты и услуги OSIsoft. Если вы считаете, что обнаружили уязвимость системы безопасности OSIsoft, мы хотели бы изучить ее вместе с вами.

Способы сообщения об уязвимости

Время ожидания ответа

Вы получите ответ в течение 24 часов. Если по какой-либо причине этого не произошло, свяжитесь с нами, чтобы мы получили ваше первоначальное сообщение.

Содержание отчета

Чтобы помочь нам лучше понять характер и масштаб возможной проблемы, укажите как можно больше данных, перечисленных ниже.

  • Тип проблемы (переполнение буфера, внедрение SQL-кода, межсайтовый скриптинг и т. д.)
  • Продукт и версия, которые содержат ошибку, или URL-адрес онлайн-службы
  • Пакеты обновлений, обновления системы безопасности или другие обновления для установленного продукта
  • Любая специальная конфигурация, необходимая для воспроизведения проблемы
  • Пошаговые инструкции по воспроизведению проблемы после новой установки
  • Код эксперимента или эксплойта
  • Воздействие проблемы, включая возможные варианты использования злоумышленниками

Дополнительная информация

Компания OSIsoft соблюдает Политику раскрытия информации в соответствии с принципами этики. Чтобы защитить поддерживающую инфраструктуру, мы просим лиц, сообщивших об уязвимости, согласовывать свои действия с нами.

Защита получателей сообщений электронной почты на OSIsoft.com осуществляется с помощью расширения протокола StartTLS по согласованию с отправителем (можно проверить настройки на CheckTLS.com). Если вы предпочитаете использовать PGP-сообщения для получения данных с более высоким уровнем конфиденциальности, запросите ключ у нашего руководителя работ по устранению инцидента.

Если вы хотите сохранить анонимность, мы удовлетворим ваш запрос. Компания OSIsoft ценит любую возможность сотрудничества с исследователями и пользователями, поскольку это помогает нам выявлять и устранять проблемы.

Для получения дополнительной информации ознакомьтесь с определением уязвимости системы безопасности от компании Microsoft, а также с информационным документом объединенной рабочей группы по промышленным системам управления ICS-CERT «Основные принципы раскрытия информации об уязвимостях промышленной системы управления» (Common Industrial Control System Vulnerability Disclosure Framework).

©2021 OSIsoft, LLC