协调漏洞披露 (CVD) 流程由 ZOLL 建立,旨在为负责任地报告、调查和解决 ZOLL 医疗设备安全漏洞提供结构化框架。®为负责任地报告、调查和解决 ZOLL 医疗设备安全漏洞提供了一个结构化框架。 该流程的目标是确保我们医疗设备的安全性、安保性和可靠性,同时与安全社区保持开放式沟通。
范围
协调漏洞披露 (CVD) 流程适用于 ZOLL 开发和提供给外部使用的所有软件、硬件和相关系统。 CVD 流程的目的不是为我们的产品提供技术支持或报告不良事件或质量投诉。
有关 ZOLL 产品客户支持,请访问https://www.zoll.com/contact/customer-service。
我们的要求
- 遵守您所在地区和 ZOLL 产品所在地区的所有适用法律和法规;
- 不要利用漏洞采取不相称的行动,如利用漏洞证明其存在、删除产品中的敏感数据、在产品中创建后门或以其他方式在产品中引入更多漏洞供后续使用;
- 不要在有伤害病人风险的地方进行系统研究或测试;
- 请勿在临床环境或其他活动环境中测试产品或网络基础设施,因为在这些环境中,产品正被用于任何类型的患者诊断、治疗、护理或监控,或可能无意中被用于此类用途;
- 任何打算随后用于临床的产品在测试结束后都应恢复原状;
- 在与 ZOLL 共同商定的时限到期之前,不要向公众披露漏洞细节
- 尽可能用英文撰写报告
注意:仅包含崩溃转储或其他自动工具输出的报告可能会获得较低的优先级。
报告程序
- 协调漏洞披露报告应通过电子邮件提交至[email protected],并提供以下信息:
- 联系信息(姓名、机构、电子邮件、电话号码)
- 受影响产品的名称和版本
- 描述漏洞及其发现方式
- 是否有证据表明这一漏洞正在被积极利用?
- 您打算公开披露这一漏洞吗?
- 如果我们发布了解决该漏洞的文件,您是否愿意将发现漏洞的功劳归于我们?
- 初次报告后,ZOLL 产品安全部将为您提供安全传输详细漏洞信息的方法。
对 ZOLL 的期待
- 我们将在 4 个工作日内确认收到您的报告
- 我们将指派一人作为 POC,负责您的报告和持续沟通
- 我们将调查潜在的脆弱性
- 我们将把潜在的研究结果提交给相应的产品团队进行验证和复制。 在此阶段,我们可能会与您联系,要求您提供更多信息。
- 我们将进行风险分析,以确定适当的行动
- 我们将在整个过程中向您提供调查结果摘要
- 如果提出要求,我们将为发现漏洞提供奖励
通知
如果您决定与 ZOLL 共享任何信息,您同意您提交的信息将被视为非专有和非机密信息,ZOLL 可以不受限制地以任何方式使用这些信息的全部或部分内容。 此外,您同意提交信息不会为您带来任何权利,也不会为 ZOLL 带来任何义务。