联影医疗
协调漏洞披露流程
联影医疗
协调漏洞披露流程
发现与报告
核实和评估
处理
披露
要报告影响联影医疗产品、解决方案的安全漏洞,请发送电子邮件至
UIH-CVD@united-imaging.com
请使用我们的PGP密钥以保护任何敏感细节。请不要在电子邮件正文或任何附件(例如屏幕截图、图像或日志文件)中包含敏感数据(例如可识别的患者数据)。
联影医疗通常在4个工作日内对收到的报告作出回应(参考:中国上海)。
请报告以下信息:
·漏洞描述,包括概念验证漏洞代码或网络跟踪(如果可用)
·受影响的产品、解决方案,包括型号和固件版本(如果可用)
·漏洞的公开性(是否已经公开披露?)
鼓励每个人报告发现的漏洞,无论服务合同或产品生命周期状态如何。
联影医疗欢迎来自研究人员、行业团体、合作伙伴和任何其他来源的漏洞报告,因为联影医疗不需要保密协议作为接收报告的先决条件。
联影医疗尊重报告方的利益(如有要求,也可匿名报告),并同意处理合理认为与联影医疗产品、解决方案或基础设施组件有关的任何漏洞。
联影医疗敦促报告方进行协调披露,因为立即公开披露会导致“零日情况”,使联影医疗的客户系统面临不必要的风险。要报告影响联影医疗产品、解决方案的安全漏洞,请发送电子邮件至
UIH-CVD@united-imaging.com
请使用我们的PGP密钥以保护任何敏感细节。请不要在电子邮件正文或任何附件(例如屏幕截图、图像或日志文件)中包含敏感数据(例如可识别的患者数据)。
联影医疗通常在4个工作日内对收到的报告作出回应(参考:中国上海)。
请报告以下信息:
·漏洞描述,包括概念验证漏洞代码或网络跟踪(如果可用)
·受影响的产品、解决方案,包括型号和固件版本(如果可用)
·漏洞的公开性(是否已经公开披露?)
鼓励每个人报告发现的漏洞,无论服务合同或产品生命周期状态如何。
联影医疗欢迎来自研究人员、行业团体、合作伙伴和任何其他来源的漏洞报告,因为联影医疗不需要保密协议作为接收报告的先决条件。
联影医疗尊重报告方的利益(如有要求,也可匿名报告),并同意处理合理认为与联影医疗产品、解决方案或基础设施组件有关的任何漏洞。
联影医疗敦促报告方进行协调披露,因为立即公开披露会导致“零日情况”,使联影医疗的客户系统面临不必要的风险。在成功分析问题后,如果需要修复程序来应对漏洞,将开发相应的修复程序并准备分发。联影医疗将使用现有的客户通知流程来管理补丁的发布,其中可能包括直接的客户通知。
联影医疗安全通知通常包含以下信息:
·已知受影响产品和软件/硬件版本的标识
·关于缓解因素和解决方法的信息
·可用修复程序的位置
在成功分析问题后,如果需要修复程序来应对漏洞,将开发相应的修复程序并准备分发。联影医疗将使用现有的客户通知流程来管理补丁的发布,其中可能包括直接的客户通知。
联影医疗安全通知通常包含以下信息:
·已知受影响产品和软件/硬件版本的标识
·关于缓解因素和解决方法的信息
·可用修复程序的位置