제품 취약점 공개 및 정책

우리는 개별 연구원, ICS-CERT, 보안 인텔리전스 수집 기관, 제품에 대한 취약성 보고를 발견하고 제출할 수 있는 고객 및 현장 담당자를 갖추고 있습니다. 취약점은 문제 보고 페이지에 보고될 수 있습니다.

이튼은 다음과 같은 경우 법적 조치를 취하지 않을 것에 동의합니다.

• 이튼 또는  고객에게 피해를 주지 않고 이튼 스마트 제품을 테스트/연구한 경우.
• 취약점 공개 정책의 범위 내에서 취약점 테스트를 실시하거나 이튼의 사전 허가/동의를 받은 경우.
• 고객에게 영향을 주지 않고 제품을 테스트하거나 장치/소프트웨어에 대한 취약점 테스트를 실시하기 전에 고객의 허가/동의를 받은 경우.
• 해당 지역의 법률과 이튼이 위치한 지역의 법률을 준수한 경우.
• 문제 보고 프로세스를 통해 취약점 보고를 제출한 경우.
• 상호 합의한 기간이 만료되기 전에 취약점에 대한 세부 정보를 공개하지 않은 경우.

승인 및 예비 분석

우리는 내부 위험 평가 절차에 따라 취약점 정보 수신을 승인 및 확인하고, 사전 분석을 수행하고, 보고된 취약점에 초기 등급을 할당합니다. 타사 소프트웨어 라이브러리에 대해 외부에서 보고된 취약점의 경우, 당사는 영향을 받는 이튼 제품 및 제품의 사용에 적용되는 CVSS v3 취약점 점수 산정 방식을 사용하여 위험 등급을 할당합니다. 전반적인 CVSS 점수가 7.0 이상이거나 CCoE에 의해 높은 보안 위험으로 간주되는 모든 취약점은 우선순위가 적용됩니다.

수정 또는 완화

현재 지원되는 제품에 대해 발견된 취약점은 이튼이 해결합니다. CCoE 팀은 제품 팀과 협력하여 할당된 우선순위에 따라 취약점을 해결합니다. 이 문제를 해결하기 위한 대략적인 일정을 추정하여 취약점 보고자(예: 개별 연구원, ICS-CERT 또는 기타 기관)에게 전달합니다.  이 단계에서 CCoE 팀은 외부 단체와의 단일 연락 지점의 역할을 하며 내부 팀과 협력하여 취약점 해결 및 테스트합니다.  이 시간 동안 문제를 해결하기 위해 노력하면서 보고 당사자와 의사 소통을 유지합니다.

수정 사항 배포

이튼은 영향을 받는 제품의 표준 유통 채널을 통해 취약점 해결/수정 사항을 배포합니다. 수정 사항과 관련된 자세한 기술 정보는 이튼 제품 보안 권고로 배포됩니다.

이튼은 취약점 연구자들과 협의하여 공개하는 것을 원칙으로하며, 취약점 연구자들은 상호 합의된 기간이 만료되기 전에 취약점에 대한 세부 정보를 일반에 공개하지 않아야 합니다.

이튼 보안 권고

보안 취약점과 관련된 정보의 공개 배포는 사이버 보안 알림 페이지에서 확인하실 수 있습니다. 이 페이지는 모든 이튼 전기 제품과 관련된 이튼 제품 보안 권고의 중앙 저장소입니다. 이 포털에서 최신 보안 권고를 확인하는 것을 권장합니다.

실질적인 해결 방법이나 해결 방법이 확인되면 검증된 취약점에 대한 보안 권고 사항을 발행할 것입니다. 해결 방법이 없는 경우에도 권고가 발행될 수 있습니다. 각 보안 취약점은 다양하며 보안 권고 발행의 대체 조치를 취할 수 있습니다. 

이튼은 고객이 중요하다고 생각하는 모든 보안 문제에 대해 보안 권고가 발행될 것을 보장하지 않으며 구체적인 일정에 따라 발행될 것을 보장하지 않습니다.

주의: 이튼은 단독 재량에 따라 언제든지 이 정책을 수정할 수 있는 권리를 보유합니다.

보상 및 표창

이튼은 본 정책을 준수하여 제품 사이버 보안 취약성을 보고하는 보안 연구자들의 기여를 정식으로 인정하기 위해 명예의 전당을 유지합니다.