Diretrizes para o tratamento de vulnerabilidades

A equipe de segurança do senhasegura, chamada SEGI9, procura por vulnerabilidades de segurança e responde proativamente àquelas que são relatadas nos produtos senhasegura e nos seus componentes.

Essa equipe trabalha com membros da comunidade, como empresas de segurança, auditorias externas de segurança, equipes externas de segurança de clientes e usuários finais.

O senhasegura está comprometido em abordar rapidamente as vulnerabilidades que afetam nossos clientes, e fornecer orientações claras sobre a solução, impacto, gravidade e mitigação dessas vulnerabilidades.

Como relatar uma possível vulnerabilidade de segurança

Se você encontrou alguma possível vulnerabilidade de segurança em um produto senhasegura, entre em contato com a equipe do SEGI9, através do e-mail [email protected]. É muito importante incluir os seguintes detalhes:

• Os produtos afetados e suas versões.
• Data da última atualização.
• Descrição detalhada da vulnerabilidade.
• Informações sobre como explorar o problema relatado.

As informações de vulnerabilidade são extremamente confidenciais. Recomendamos enfaticamente que você criptografe todos os relatórios de vulnerabilidade de segurança, utilizando a chave PGP do senhasegura CVE abaixo: 

Publicação de informações de segurança

O senhasegura publica um tipo de informação de segurança no Centro de Segurança do produto senhasegura.

Avisos de segurança

Forneça informações sobre vulnerabilidades de segurança identificadas nos produtos senhasegura, incluindo quaisquer correções, soluções alternativas ou outras ações.

Processo de tratamento de vulnerabilidades

As vulnerabilidades de segurança nos produtos senhasegura são gerenciadas ativamente por um processo bem definido. O tempo de resposta varia conforme o escopo do problema. O processo consiste em quatro etapas principais: relatório, avaliação, solução e comunicação. Cada etapa é descrita a seguir:

Relatório

O processo começa quando a equipe do SEGi9 toma conhecimento de uma potencial vulnerabilidade de segurança nos produtos senhasegura. O relator recebe uma confirmação e é atualizado no decorrer do processo.

Avaliação

A equipe do SEGi9 confirma a potencial vulnerabilidade potencial, avalia o risco, determina o impacto e atribui uma prioridade. Caso a vulnerabilidade seja total ou parcialmente confirmada na versão estável, um esquadrão técnico especial é criado para analisar e corrigir o problema. Este esquadrão é polivalente, e composto por desenvolvedores, analistas de segurança, analistas de produto e analistas de qualidade.

Solução

Depois que o problema for corrigido, o patch de segurança será inserido na versão instável e entregue à equipe de qualidade para que a modificação seja testada e aprovada. Nos casos de vulnerabilidade com alto risco, o senhasegura entregará um patch diretamente para todas as versões do senhasegura.

Comunicação

O senhasegura publica um aviso de segurança para problemas graves. Casos menos graves são comunicados por outros métodos. Os avisos são postados na Central de Segurança do Produto senhasegura, e divulgados simultaneamente para todos os clientes.