Produktsicherheit – Prozess für die Bearbeitung von Sicherheitsproblemen

NetApp befolgt ein Standardverfahren zur Behebung von Schwachstellen und zur Benachrichtigung unserer Kunden.

Entgegennahme von Schwachstellenmeldungen. NetApp empfiehlt Kunden und Experten, vertrauliche Einzelheiten in mit PGP verschlüsselten E-Mails an unser PSIRT (Product Security Incident Response Team) zu senden. NetApp untersucht die vermutete Schwachstelle bei den NetApp Produkten und bestätigt den Eingang der Schwachstellenmeldung innerhalb von sieben Arbeitstagen.

Verifizierung. PSIRT-Techniker von NetApp überprüfen die Schwachstelle und nehmen eine Einstufung im CVSS (Common Vulnerability Scoring System) vor.

Lösungsentwicklung. NetApp stellt den Kunden wichtige Korrekturen und Abhilfemaßnahmen im Rahmen der strikten Qualitätskontrollstandards schnellstmöglich zur Verfügung; Tests und Überprüfungen nehmen allerdings häufig sehr viel Zeit in Anspruch. 

Bekanntmachung. NetApp legt den Kunden gegenüber das Mindestmaß an Informationen offen, das zum Einschätzen der Schwachstellenauswirkungen in der jeweiligen Umgebung erforderlich ist; außerdem werden die Kunden gegebenenfalls auf notwendige Schritte zur Risikominimierung hingewiesen. NetApp vermeidet die Offenlegung von Details, die einem Dritten mit böswilligen Absichten die Entwicklung eines Exploits ermöglichen könnten.

Zuordnung. Als Anerkennung erwähnt NetApp externe Benutzer, die Schwachstellen entdeckt haben, in den Maßnahmeempfehlungen, sofern diese Benutzer der Nennung ihres Namens ausdrücklich zugestimmt haben und NetApp vor Veröffentlichung der Schwachstelleninformation die Möglichkeit eingeräumt wird, Abhilfe zu schaffen und die NetApp Kunden zu benachrichtigen.


Prüfen Sie vor der Meldung von Schwachstellen die vorhandenen NetApp Schwachstellenberichte, um sicherzugehen, dass Sie eine neue Schwachstelle entdeckt haben.