ДЕЙСТВИЯ ПРИ ОБНАРУЖЕНИИ УЯЗВИМОСТИ ИЛИ НЕДОСТАТКА ПОЛЬЗОВАТЕЛЕМ ПРОГРАММНОГО ПРОДУКТА
При обнаружении уязвимости ли недостатка в ПО, пользователем отправляется заявка в техническую поддержку с описанием обнаруженного недостатка.
При получении сообщения о предполагаемом недостатке безопасности (уязвимости) выполняются следующие действия:
- Занесение проблемы в систему управления недостатками, с подробным их описанием.
- Назначение исполнителя по данной проблеме.
- Анализ воспроизводимости (моделирование действий) проблемы, а также анализ исходного кода для выявления модуля, реализующего функцию безопасности, содержащую недостаток.
В случае если проблема воспроизводится, проводится следующий комплекс мер:
- В срок не более 48 часов происходит разработка компенсирующих мер или ограничений по использованию средства и оповещение путем размещения информации на сайте продукта и рассылки от службы технической поддержки.
- Отладка для выявления места в исходном коде предполагаемого недостатка безопасности.
- Исправление разработчиком исходного кода и проверка устранения недостатка безопасности.
- Компиляция и сборка изделия для передачи на тестирование.
- Проверку изделия в системе тестирования*.
*В случае успешного прохождения тестов версия ПО фиксируется в репозитории и отправляется запрос руководителю проекта на внесение изменений в главный репозиторий и сборку релизной версии ПО. В противном случае исполнитель продолжает работу по устранению недостатка безопасности.
6. После сборки новой версии ПО и успешного тестирования, осуществляется публикация новой версии.
7. Осуществляется внесение информации о необходимости установки обновления в статье release-notes и осуществляется рассылка по электронной почте на адреса, указанные для входа в личный кабинет, а так же уведомление о закрытие заявки по обращению.