ウインドリバーの PSIRTは、お客様、規制当局、セキュリティコミュニティ、そして当社のセキュリティオフィスと連携してセキュア開発ライフサイクル(SDL)のポリシーおよび標準を推進し、当社の開発チームやセキュリティチャンピオンに、サポート対象製品のセキュリティ問題をタイムリーに特定して解決するためのプロセスと手順を提供します。これらのプロセスや手順はFIRST.org PSIRTサービスフレームワークとISO/IEC 30111および29147国際標準に準拠しています。
ウインドリバーのPSIRTポリシー
ウインドリバーは、脆弱性の機密報告、タイムリーな解決、および保証付きで修復が可能な場合の公表に関する相互合意のタイムラインにより、責任ある脆弱性の公表を重視しサポートします。
報告者は、ウインドリバー製品の脆弱性を説明し再現できるだけの詳しい情報を提供する必要があります。これには、次の情報が含まれます。
- CVE番号(該当する場合)
- 影響を受ける製品またはコンポーネント
- ウインドリバーが提供した製品への適用性
- ソフトウェアバージョン
- 脆弱性に関する説明と該当する場所
- 脆弱性を再現するための技術的な詳細
- 概念実証エクスプロイトコード(もしあれば)
- 連絡先情報(フォローアップと表彰のため)
製品のセキュリティ上の脆弱性について機密報告を行う場合は、当社の PGP公開キーを使用してメッセージを暗号化し、PSIRT@windriver.comまでメールをお送りください。
ウインドリバーのPSIRTは脆弱性の報告を確認次第、報告者に連絡し、その脆弱性の深刻度や影響度に応じて解決策を検討します。現在、金銭的なバグ報奨金プログラムはサポートしていませんが、このポリシーを遵守している研究者に対しては公的な謝辞を記します。当社製品に関する類例のない未修整の脆弱性については、新たなCVEエントリーの作成をサポートします。
ウインドリバーは、セキュリティ速報や当社セキュリティセンターのWebサイトからアクセスできる包括的な脆弱性データベースを利用して、現在サポート対象の製品における脆弱性のタイムリーな解決策の提供と通知、そして修復を継続的に実施しています。レガシー製品に関する脆弱性サポートは、Long-Term Security Shield(LTSS)契約を締結しているお客様、および特定のプロフェッショナルサービス契約が必要なEnd-of-Life(EOL)製品に対して提供されます。