취약성 공개 정책
Lenovo는 안전한 보안된 제품과 서비스를 내놓고자 심혈을 기울이고 있습니다. 취약성이 발견되는 경우 당사는 이를 해결하려고 애씁니다. 이 문서에는 자사 제품과 서비스의 잠재적인 보안 취약성과 관련된 보고서를 받고자 취하는 Lenovo의 정책 및 고객에게 확인된 취약성을 알리는 데에 관한 자사의 표준 실무 관례가 기술됩니다.
PSIRT(Product Security Incident Response Team)에 문의해야 하는 경우
당사의 제품 중 어느 하나에서 잠재적 보안 취약성을 확인한 경우 psirt@lenovo.com에 이메일을 보내서 Lenovo PSIRT(Product Security Incident Response Team)에 문의해 주십시오. 인시던트 보고서가 접수된 후에는 해당 담당자가 고객에게 연락해서 후속 조치를 하게 됩니다.
기밀성 보장 차원에서 당사는 고객이 이메일을 통해 당사에 전하는 모든 중요한 정보를 암호화하기를 적극적으로 권합니다. 당사는 OpenPGP를 사용해서 암호화한 메시지를 수신할 수 있습니다. 암호화한 이메일을 전송하는 데 사용될 수 있는 공개 키 사본은 여기에서 확인할 수 있습니다.
이메일 psirt@lenovo.com 주소는 당사 제품이나 서비스의 보안 취약성을 '신고하는 용도로만' 사용해야 합니다. 당사 제품이나 서비스에 관한 기술 지원 정보는 www.lenovo.com/support를 참조하시기 바랍니다.
Lenovo는 영업일로 2일 이내에 모든 제출된 보고서의 수신이 확인되었다는 것을 알리려고 노력합니다.
Lenovo로부터 보안 정보 받기
당사의 제품과 서비스와 관련된 보안 권고에 관한 기술 정보는 당사의 보안 웹 사이트 www.lenovo.com/product_security/advisories에 게시되었습니다. 대개의 경우 당사는 특정한 보안 취약성의 실현 가능한 해결 방법이나 픽스가 자체적으로 식별되었을 때 공지를 띄웁니다. 단, 취약성이 보안 커뮤니티에 널리 알려지게 되었을 때는 해결 방법이 없는 상태에서 공지를 하는 경우가 생길 수 있습니다.
Lenovo가 제삼자로부터 잠재적인 취약성이 당사 제품에서 발견되었다는 통지를 받은 경우 당사는 해당 발견 결과를 조사하며 그 제삼자와 함께 협정한 공개 정보를 게시할 수 있습니다. 때에 따라 Lenovo는 기밀 또는 비밀 유지 계약에 따라 공급자로부터 보안 취약성에 관한 정보를 받을 수 있습니다. 이러한 경우 Lenovo는 보안 취약성에 관한 세부 정보를 제공할 수 없을지도 모르지만, 해당 공급자와 협력해서 보안 픽스의 릴리스를 요청합니다.
심각도
취약성의 점수나 등급을 매길 때 Lenovo는 표준 업계 모범 사례에 따라 취약성의 잠재적인 영향도를 '높음', '보통' 또는 '낮음'으로 나타냅니다. 이 접근법은 CVSS(Common Vulnerability Scoring System)에 따른 것으로 IT 취약성의 특징과 영향을 알리기 위한 개방형 프레임워크입니다. CVSS를 사용하면 IT 관리자, 취약성 게시 정보 제공자, 보안 협력업체, 애플리케이션 공급업체 및 연구자는 IT 취약성 점수 결정을 위한 공용 언어를 채택함으로써 모두 편익을 얻을 수 있습니다.
설명
보안 권고 공지는 이름, 원인 및 기타 제공 가능 정보를 비롯하여 명확하게 취약성을 설명하도록 글로 작성됩니다. 권고 공지는 취약성과 관련된 널리 알려진 위협에 관한 정보입니다(예컨대 익스플로잇 코드나 개념 증명 코드의 존재, 인시던트 활동에 관한 토론이나 증거 등). 또한, 권고 공지에는 취약성을 파고드는 공격의 잠재적인/예상 결과가 설명됩니다.
제품 영향
일반적으로 보안 권고 공지에는 '영향받음', '영향받지 않음' 또는 '조사 중' 같은 상태와 함께 Lenovo 제품의 목록이 포함됩니다. 영향받는 제품은 Lenovo 지원 사이트(모든 업데이트가 유지 관리되는 곳)에서 다운로드될 수 있는 픽스나 권장 해결 방법으로 연결되는 링크 및/또는 수정 관리를 위한 목표 일자를 포함합니다. 취약성이 특정한 일련의 제품에 국한되는 경우 Lenovo는 영향을 받는 제품의 목록만 제공할 수 있습니다. 때에 따라 Lenovo는 전 제품에 걸친 영향도 평가를 완료하기에 앞서서 보안 권고 공지를 띄워야 한다는 판단을 내릴 수도 있습니다. 이러한 경우 조사 상태가 표시되어 보입니다. 고객은 보안 권고 사이트를 방문해서 권고 상태에 대한 정보를 최신 상태로 유지하는 것이 바람직합니다.
해결책
제품 취약성의 경우 해당 픽스나 보안 패치를 구하는 방법에 관한 정보는 권고 공지에서 확인할 수 있습니다. 어떤 경우에는 보안 픽스나 패치를 적용하지 않은 상태에서 부지런한 작업 활동을 통해서 혹은 어떻게 해서든 사용을 제한함으로써 사용 중인 영향받는 제품을 보호하도록 고객을 지원하는 차선의 해결 방법이 권장될 수 있습니다.
참조
취약성에 관한 추가 정보가 제공되는 경우 해당 권고 공지에는 참조 링크가 게시됩니다. 여기에는 CVE 또는 블로그나 기사로 연결되는 링크가 포함됩니다.
확인 알림
일반적으로 당사는 취약성의 연구자나 발견자가 확인되었다는 것을 기꺼이 알리며 이들의 동의하에 당사자에게 발표자 표시 기회를 드립니다.
수정 기록
여러 번의 업데이트가 권고에 적용되었을 때 수정 기록은 어떤 업데이트가 언제 적용되었는지를 보여줍니다.
참고: 이 프로세스의 모든 국면은 예고 없이 변경될 수 있을 뿐 아니라 사례별 예외 조항의 적용을 받습니다. 어떤 특정 문제나 부류의 문제에도 개별적 수준의 응답은 전혀 보장되지 않습니다.