PSIRT 以最大的谨慎度快速识别、分析和纠正安全事件。即使不存在客户关系,也可以随时报告可疑情况或弱点提示。透明地记录已确认的薄弱环节并公布具体的行动建议。这样可以确保产品在未来仍然符合最高的安全标准。
PSIRT 过程概况
对报告的漏洞进行结构化处理,确保快速可靠的响应。PSIRT 按照明确定义的流程工作:
1. 接收漏洞举报
通过中央 PSIRT 邮箱收集举报。此外,还会持续评估外部来源的安全相关信息。
2. 分析和评估
通过一个多阶段流程对每次举报进行分析。内部评估系统确定严重程度和风险。
3. 实施和发布
通过适当的措施及时处理或消除已确认的漏洞。与具体的行动建议一同发布。
无论来源如何,欢迎随时提交安全相关的举报。PSIRT 接收来自合作伙伴公司、计算机安全应急响应组 (CERT)、安全研究人员、政府机构、供应商或个人的举报。联系不需要任何合同协议或保密协议。
保密和负责任的处理方式
所有收到的举报都将严格保密。只有授权的 PSIRT 员工才有权访问提交的信息。举报人的身份将被保密处理,只有在获得明确同意后才会披露。
收到之后会仔细检查举报内容。如有必要,将与举报人进行协商,以澄清其他细节。接着会采取有针对性的措施来保护涉及的系统。
欧盟网络弹性法案 (Cyber Resilience Act, CRA)
随着对产品网络安全的监管要求日益严格,实施“网络弹性法案” (CRA) 是一项核心关注点。目标是在法律规定的期限内使所有受影响的产品完全符合 CRA 要求。
按照 VDI/VDE 准则 2182 的既定方法模型,以结构化和符合标准的方式实施 CRA 要求。该模型支持系统地开发安全的自动化解决方案。
这些数据包括但不限于:风险分析和保护需求评估
将 " 安全源于设计 " 原则融入开发和生命周期中
根据合规要求创建技术文档
合规评估和 CE 标志准备
