PTC CVD (Coordinated Vulnerability Disclosure) 보고(v1.0)

PTC는 보안 연구를 중시합니다

안전과 보안은 PTC와 PTC에서 지원하는 에코시스템에 매우 중요합니다. 물리적 시스템과 디지털 시스템의 융합이 가속화되면서 우리 모두는 더욱 안전하고 보호되며 탄력적인 시스템을 개발하고 유지할 공동 책임이 있습니다. PTC는 강력한 보안 프로그램과 이니셔티브를 통해 역할을 다하기 위해 최선을 다하고 있습니다. 또한 자체적인 노력을 확장하여 성실하게 행동하는 자발적 동맹들과 힘을 합치고자 합니다. 그러한 의미에서 PTC는 보안 연구자들의 귀중한 기여를 환영합니다. 또한 이러한 프로세스를 원활하고 능률적으로 진행하기 위해 CVD(Coordinated Vulnerability Disclosure) 프로그램을 도입하고 있습니다.

초기 적용 범위

이 시범 프로그램의 초기 적용 범위는 취약성이 산업 및 안전 중시 분야에 잠재적으로 영향을 미칠 수 있는 영역에 온전히 집중하기 위해 ThingWorx 브랜드 제품으로 합니다. 프로그램이 성숙해지면 다른 제품으로 적용 범위를 넓힐 계획입니다.

법적 입장

PTC는 모든 해당 법률 준수를 포함하여 선의로 행동하고 이 정책에서 기술한 협력 지침 및 가이드라인을 준수하는 동맹을 대신하여 소송을 제기하지는 않을 것입니다.

PTC와의 소통

공개 사항이 양방향으로 원활히 처리될 수 있도록 다음 지침을 따라 주십시오.

  • 영문 보고서를 cvd@ptc.com
  • 이 웹 페이지에서 제공되는 PGP 공개 키 또는 다른 암호화 방법을 사용하여 메시지를 암호화하십시오.
  • 제공하는 스크린샷, 다른 문서나 내용에 민감한 정보(취약성 세부 정보와 관련 없는 정보)를 포함시키지 마십시오.

메시지를 받으면 PTC의 담당자가 7일 이내에 수신 확인 메시지를 보냅니다.

지침

보안 연구자가 준수해야 할 가이드라인은 다음과 같습니다.

  • 활성 환경에서 테스트(또는 해킹)를 수행하지 마십시오(취약성 테스트는 테스트 또는 개발 환경을 이용하십시오).
  • 모든 관계 법령을 준수하십시오.
  • 법적 권한이 없는 계정이나 시스템의 데이터를 액세스하거나 변경하지 마십시오,
  • 발견한 취약성이나 문제점을 악용하지 마십시오. 비정상적이고 불법적인 행위를 하지 마십시오.
  • 공공 안전, 프라이버시 및 보안 위험을 최소화하기 위해 발견된 취약성 정보의 공개 날짜를 선택할 때 PTC와 상의할 것을 요청합니다.
    • 공개 계획을 세워 두고 있다면 대중에게 공개하기 전에 알려 주십시오.
    • 신중을 기하기 위해 DHS-ICS-CERT, CERT/CC, 관련 규제 기관, 기타 해당 정부 부처가 관여하게 하십시오.
    • 취약성(및 CVE)에 대한 취약성 협력자와의 통신 세부 정보를 제공해 주십시오.
  • 권장: 영문 보고서를 체계적으로 작성할 경우 문제를 즉시 해결할 가능성이 높아집니다.
  • 권장: 보고서에 개념 증명 코드를 포함하면 문제를 선별하는 데 도움이 됩니다.

PTC의 조치

제출 보고서를 받으면 PTC에서는 다음과 같이 조치합니다.

  • 7일 이내에 수신 확인 메시지를 보냅니다.
  • 잠재적 결과에 대한 초기 평가를 수행하여 정확성, 에스컬레이션 필요성, 에스컬레이션 대상 제품군을 결정합니다. 이 단계에서 보고자는
    • 추가 정보를 요청받거나
    • 취약성이 프로그램의 기준에 해당하지 않거나 세부 정보가 충분하지 않아서 프로그램을 통해 수리될 수 없다는 알림을 받을 수 있습니다. (수리 불가 알림을 받을 경우 cvd@ptc.com)으로 응답할 수 있습니다.)
  • 취약성의 중요도에 따라 해결책을 개발하고 적절한 조치를 취합니다.
  • 보고 결과에 따라 공개적으로 수정 또는 발표가 이루어지고 연구자가 요청하는 경우 연구자를 공개적으로 인정합니다.

PTC는 필요한 경우 또는 통신 문제나 기타 문제를 해결할 수 없는 경우 중립적인 제3자(CERT/CC, DHS-ICS-CERT 또는 관련 규제 기관)를 통해 최선의 취약성 해결 방법을 결정하는 데 도움을 받을 수 있습니다.

참고: PTC와 공유하는 정보는 PTC에서 적절하다고 판단하는 방식으로 이용할 수 있습니다. 정보 제출로 인하여 제출자에게 권리가 발생하거나 PTC에게 의무가 발생하지 않습니다.