ZTE PSIRT

A ZTE incentiva os profissionais de segurança globais e as organizações do setor a enviar proativamente as vulnerabilidades de segurança dos produtos ZTE, ajudando-nos a melhorar continuamente a segurança dos nossos produtos e serviços. Se você descobriu alguma vulnerabilidade de segurança, envie-a para nós. Email para envio: psirt@zte.com.cn.

Escopo de envio: Produtos dentro do escopo do serviço ZTE (excluindo produtos de Fim de Serviço e Suporte ). Se o produto relevante estiver dentro do escopo do programa de recompensas por bugs da ZTE, a recompensa correspondente será fornecida.

Para mais informações, acesse nosso site global sob a aba ZTE Bug Bounty Program

As vulnerabilidades serão abordadas assim que as recebermos. Geralmente, você obterá um e-mail de confirmação no prazo de 1 dia útil a partir do envio; um e-mail de verificação no prazo de 7 dias úteis;

Posteriormente, manteremos você atualizado com o progresso mais recente durante o processo de tratamento de vulnerabilidades.

Para garantir a eficiência do tratamento, siga as seguintes instruções para fornecer um relatório de vulnerabilidade:

1. Preencha o formulário de forma completa e precisa.
2. Como as vulnerabilidades de segurança são informações confidenciais, sugerimos fortemente que você use nossa chave pública PGP (ID da chave: FF095577) para criptografar as informações enviadas.
3. Use o formato de assunto do e-mail como: [Product Name-Vulnerability Overview]
4. Certifique-se de que seu envio não envolva questões de propriedade intelectual e não contenha conteúdos proibidos por lei ou palavrões.

Além disso, presumimos que você concorda em manter as informações confidenciais antes que a ZTE as divulgue. Ao mesmo tempo, a ZTE está comprometida em manter a confidencialidade das informações confidenciais para os clientes antes da correção e divulgação do boletim de segurança.

Para vulnerabilidades não relacionadas à segurança, consulte nossa página Suporte Técnino Global.

A ZTE incentiva pesquisadores de segurança cibernética, organizações industriais e fornecedores a relatar vulnerabilidades de segurança relacionadas aos nossos produtos à ZTE PSIRT. Entre em contato conosco enviando um e-mail para psirt@zte.com.cn

"Segurança no DNA, confiança através da transparência" é a visão da ZTE sobre segurança cibernética. A ZTE está empenhada em fornecer produtos e serviços seguros e confiáveis aos clientes. A ZTE realiza governança de segurança que abrange a cadeia de suprimentos, pesquisa e desenvolvimento, entrega, resposta a incidentes e diversas áreas de suporte, formando um sistema de garantia de segurança cibernética durante todo o ciclo de vida do produto. Cumprindo as leis e regulamentos, seguindo os padrões do setor e as necessidades dos clientes, a ZTE PSIRT formula o processo de resposta a vulnerabilidades da ZTE.

A ZTE atribui grande importância ao gerenciamento de vulnerabilidades em todo o ciclo de vida do produto e formula um processo completo de resposta a vulnerabilidades de acordo com os padrões ISO/IEC 30111 e ISO/IEC 29147 para garantir que as vulnerabilidades de segurança sejam tratadas de forma eficaz e rápida para reduzir os riscos de segurança.

O processo de resposta à vulnerabilidade de segurança inclui cinco etapas:

1. Recebimento das vulnerabilidades descobertas pelas diversas partes relevantes.
   A ZTE incentiva os profissionais de segurança globais e as organizações do setor a enviar vulnerabilidades de segurança dos produtos ZTE. Enquanto isso, a ZTE PSIRT busca proativamente informações sobre ameaças divulgadas pela indústria e identifica informações eficazes sobre vulnerabilidades.
2. Verificação das vulnerabilidades, analisar impactos e avaliar riscos.
   A ZTE PSIRT analisa e verifica vulnerabilidades de segurança, e classifica e pontua vulnerabilidades de acordo com o padrão CVSS. Especialistas em segurança analisam e confirmam o resultado da verificação. As vulnerabilidades de segurança no âmbito do programa de recompensas de bugs da ZTE serão recompensadas.
3. Fornecimento de medidas e soluções de mitigação, após confirmar que um produto é afetado pela vulnerabilidade.
   Para vulnerabilidades de segurança confirmadas, a PSIRT colabora com a equipe de produto para formular, desenvolver e fornecer soluções para as vulnerabilidades (incluindo medidas e soluções de mitigação), abordando eficazmente os riscos de segurança e garantindo a segurança e estabilidade dos dados e sistemas do cliente.
4. Mantendo a comunicação, corrigindo as vulnerabilidades e divulgando as vulnerabilidades.
   Durante o processo de resposta à vulnerabilidade, a ZTE mantém comunicação com o cliente e partes relacionadas, sincroniza o progresso do tratamento, auxilia o cliente na solução das vulnerabilidades o mais rápido possível e conclui a divulgação coordenada de vulnerabilidades.
5. Acumulando experiência nas áreas de gerenciamento, tecnologia, etc. para melhorar a eficiência e capacidade de gestão de vulnerabilidades.
   A ZTE conduzirá análises gerenciais e técnicas da causa raiz, revisará as lições aprendidas, otimizará continuamente os processos de resposta a vulnerabilidades e melhorará a segurança dos produtos para fornecer produtos e serviços seguros e confiáveis aos clientes.

A ZTE divulga informações sobre vulnerabilidades e soluções de correção das seguintes maneiras:

Boletim de Segurança: Um boletim de segurança inclui o nível de gravidade da vulnerabilidade, o escopo dos produtos e versões afetados, o impacto nos negócios e a correção. Geralmente é usado para divulgar informações e correções de vulnerabilidades de segurança graves e de alto risco dos produtos ZTE, para que os clientes possam obter as informações sobre vulnerabilidades e avaliar os riscos. A ZTE reserva-se o direito de publicar e atualizar continuamente boletins de vulnerabilidade.

Declaração de Segurança: Uma declaração de segurança inclui uma descrição de vulnerabilidades que têm um amplo impacto na indústria ou na sociedade, uma breve descrição de tópicos de segurança relevantes e o progresso mais recente no tratamento da ZTE. Ele é usado para divulgar tópicos de segurança importantes (incluindo vulnerabilidades de segurança e tópicos de vulnerabilidade não relacionados à segurança), para que as partes relevantes possam se manter informadas sobre o progresso do tratamento da ZTE.

Notas de Versão: Uma nota de versão inclui informações sobre a vulnerabilidade corrigida dos produtos ZTE. É utilizado para divulgar vulnerabilidades de segurança que foram corrigidas durante o processo de P&D, para que os clientes possam compreender o status de segurança do produto.

Informações adicionais

1. A ZTE PSIRT controlará rigorosamente o escopo das informações sobre vulnerabilidades, garantindo que elas sejam compartilhadas apenas entre aqueles diretamente envolvidos no processo de correção de vulnerabilidades.
2. A ZTE PSIRT tem o direito de interpretação da política acima.

Continuando no princípio de ser aberta e transparente, a ZTE garante que expõe potenciais vulnerabilidades de produtos, incluindo soluções finais, aos clientes em tempo adequado.

Como membro da FIRST e Autoridade de Numeração CVE (CNA), a ZTE se dedica a publicar exposições de vulnerabilidades em conjunto com clientes e partes interessadas de uma maneira mais aberta. As exposições relevantes podem ser encontradas nos sites da CVE e da ZTE.

Clique em “Bulletin” - Boletins de Segurança para obter mais informações.