联影医疗
协调漏洞披露流程

序言

联影医疗致力于帮助确保其客户设施的安全保障。
联影医疗准备与通过发送电子邮件至 UIH-CVD@united-imaging.com的方式提交漏洞报告
的个人或团体真诚合作。联影医疗不打算对以下个人或团体提起法律诉讼:

  • 遵守法律及有关规定
  • 在不伤害任何人的情况下参与对系统的测试
  • 在进行产品测试或漏洞测试之前,需要先获得客户的许可或同意
  • 在双方商定的时限到期之前进行协调披露,避免向公众披露漏洞细节
  • 避免影响任何人的安全或隐私。在医疗产品方面,尤其要避免影响患者的安全或隐私

范围

本协调漏洞披露声明适用于联影医疗的所有商用产品。

此过程用于报告联影医疗产品中的潜在新漏洞。操作系统和其他第三方组件中的漏洞不应通过此过程报告。

漏洞处理和披露过程

发现与报告

核实和评估

处理

披露

发现与报告

要报告影响联影医疗产品、解决方案的安全漏洞,请发送电子邮件至
UIH-CVD@united-imaging.com
请使用我们的PGP密钥以保护任何敏感细节。请不要在电子邮件正文或任何附件(例如屏幕截图、图像或日志文件)中包含敏感数据(例如可识别的患者数据)。

联影医疗通常在4个工作日内对收到的报告作出回应(参考:中国上海)。

请报告以下信息:
·漏洞描述,包括概念验证漏洞代码或网络跟踪(如果可用)
·受影响的产品、解决方案,包括型号和固件版本(如果可用)
·漏洞的公开性(是否已经公开披露?)

鼓励每个人报告发现的漏洞,无论服务合同或产品生命周期状态如何。

联影医疗欢迎来自研究人员、行业团体、合作伙伴和任何其他来源的漏洞报告,因为联影医疗不需要保密协议作为接收报告的先决条件。

联影医疗尊重报告方的利益(如有要求,也可匿名报告),并同意处理合理认为与联影医疗产品、解决方案或基础设施组件有关的任何漏洞。

联影医疗敦促报告方进行协调披露,因为立即公开披露会导致“零日情况”,使联影医疗的客户系统面临不必要的风险。

要报告影响联影医疗产品、解决方案的安全漏洞,请发送电子邮件至
UIH-CVD@united-imaging.com
请使用我们的PGP密钥以保护任何敏感细节。请不要在电子邮件正文或任何附件(例如屏幕截图、图像或日志文件)中包含敏感数据(例如可识别的患者数据)。

联影医疗通常在4个工作日内对收到的报告作出回应(参考:中国上海)。

请报告以下信息:
·漏洞描述,包括概念验证漏洞代码或网络跟踪(如果可用)
·受影响的产品、解决方案,包括型号和固件版本(如果可用)
·漏洞的公开性(是否已经公开披露?)

鼓励每个人报告发现的漏洞,无论服务合同或产品生命周期状态如何。

联影医疗欢迎来自研究人员、行业团体、合作伙伴和任何其他来源的漏洞报告,因为联影医疗不需要保密协议作为接收报告的先决条件。

联影医疗尊重报告方的利益(如有要求,也可匿名报告),并同意处理合理认为与联影医疗产品、解决方案或基础设施组件有关的任何漏洞。

联影医疗敦促报告方进行协调披露,因为立即公开披露会导致“零日情况”,使联影医疗的客户系统面临不必要的风险。

核实和评估

联影医疗调查并再现该漏洞。如果需要,联影医疗
将要求报告者提供更多信息。

处理

联影医疗与负责的开发小组合作执行内部漏洞处理。

在此期间,联影医疗与报告方保持定期沟通,告知当前状态,并确保
报告方了解供应商的立场。

如果可用,可向报告方提供软件修复程序的预发布以供核实。

披露

在成功分析问题后,如果需要修复程序来应对漏洞,将开发相应的修复程序并准备分发。联影医疗将使用现有的客户通知流程来管理补丁的发布,其中可能包括直接的客户通知。

漏洞详情
如需了解更详细的漏洞信息,请访问

联影医疗安全通知通常包含以下信息:
·已知受影响产品和软件/硬件版本的标识
·关于缓解因素和解决方法的信息
·可用修复程序的位置

在成功分析问题后,如果需要修复程序来应对漏洞,将开发相应的修复程序并准备分发。联影医疗将使用现有的客户通知流程来管理补丁的发布,其中可能包括直接的客户通知。

漏洞详情
如需了解更详细的漏洞信息,请访问

联影医疗安全通知通常包含以下信息:
·已知受影响产品和软件/硬件版本的标识
·关于缓解因素和解决方法的信息
·可用修复程序的位置