보고 정책

책임 공개 정책

유니락 은 취약성에 대해 공개하는 것이 제품 및 서비스의 품질을 개선하는 데 필수적이라고 믿습니다. 유니락 은 보안 연구 커뮤니티의 통찰력을 소중히 여기며 공개와 협력을 환영합니다.

책임 공개 프로세스를 통해 유니락 은 보안 연구원 및 기타 취약성 조사자와 협력하여 합법성과 무결성으로 취약성을 비공개로 보고하는 메커니즘을 제공함으로써 제품과 서비스를 더욱 안전하게 만들 것입니다. 책임 있는 공개를 통해 보안 인프라가 테스트되고 신뢰할 수 있음이 입증됩니다. 이 프로세스를 통해 연구원과 협력하여 끊임없이 변화하는 보안 환경에서 취약성을 신속하게 식별하고 완화할 수 있습니다.

다음은 유니락 의 책임 공개 정책입니다.

• 유니락 은 당사 제품의 최종 사용자를 보호하는 방식으로 고객에게 알려진 취약성과 수정 사항을 공개합니다. 달리 요청하지 않는 한, 유니락 이 공개한 내용에는 취약성을 처음 식별한 사람의 공로가 포함됩니다.
• 유니락 은 보안을 개선하고 취약성과 이를 해결하는 솔루션을 포함한 정보 유통을 조정하기 위해 공동의 관심을 가지고 유니락 에 온 보안 연구원과 소통하고 협력합니다.
• 유니락 은 연구원을 위한 포상 프로그램이나 금전적 보상은 없지만, 유니락 은 취약성에 대한 유효한 정보를 회사에 개인적으로 제공하고 유니락 과 협력하여 수정 또는 패치가 개발되고 테스트된 후 공개 발표를 조정한 연구원의 공로를 서면 권고문을 통해 공개적으로 인정합니다. 
• 보안 연구원들은 위험을 최소화하고 최종 사용자가 스스로를 보호할 수 있도록 도와준 공로로 유니락 권고문에 대한 링크를 자체 웹 사이트에 게시할 수 있습니다.

보안 연구원 커뮤니티가 유니락 과 협력하여 취약성 공개 시점 및 방식을 조정하도록 요청합니다. 유니락 에 먼저 알리지 않고 조기에 취약성을 공개적으로 공개하면 최종 사용자에게 피해를 줄 수 있으며 민감한 정보가 노출되고 사람과 조직이 악의적인 공격의 위험에 처할 수 있습니다.

이를 위해 ASSA ABLOY는 2단계 프로세스를 강력히 시행합니다. 첫 번째는 ASSA ABLOY에 대한 잠재적인 취약성을 비공개로 진행하는 것입니다. 취약성이 확인되고 해결되면 유니락 은 보안 연구원의 발견에 대한 인식을 포함하여 공개를 공개적으로 진행하여 올바른 사람에게 크레딧이 제공되는지 확인합니다.

연구원들은 보고된 취약성을 조사, 검증 및 수정하기 위한 우리의 조치가 취약성의 복잡성과 심각도에 따라 다르다는 점을 인지할 것을 요청합니다. 우리는 예상 일정, 변경 사항을 전달하고 가능한 경우 최대한 협력할 것입니다. 또한 연구원은 취약성 테스트를 위한 서비스를 사용하거나 평가를 수행하는 동안 유니락 사용자 인프라 또는 개인 정보를 손상시키지 않도록 요청합니다. 만약 이러한 종류의 테스트가 필요한 경우 합리적으로 가능한 비생산 환경에서 테스트가 가능한 제품을 제공할 수 있도록 당사에 연락하도록 요청합니다.

다른 선두 기업과 마찬가지로 유니락 은 보안 에코시스템을 보호하기 위해 취약성의 공동 공개에 대한 업계 모범 사례를 적용하여 고객이 최고 품질의 정보를 얻고 제품, 프로토콜, 방법론, 표준 및 솔루션을 개선하는 방법에 대한 공개 토론을 주도하도록 합니다.

책임 공개 프로그램의 일환으로 유니락 은 취약성을 공개적으로 공개하기 위해 책임감 있고 공유를 선호하는 접근 방식을 고수하는 보안 연구원을 찾고 있습니다. 유니락 은 보안 연구원 및 기타 취약성 조사관을 동참하도록 초대합니다.

요구되는 행동

취약성을 발견했다고 생각되면 ASSA ABLOY 보안 리소스 센터의 "보고 가이드라인" 페이지에서 결과를 ASSA ABLOY 보안 대응 팀에 비공개로 제출하는 방법에 대한 지침을 참조하거나 productsecurity@assaabloy.com로 직접 연락할 수 있습니다.