Bewertung und Priorisierung von Sicherheitsproblemen

NetApp richtet sich bei der Bewertung von Sicherheitsproblemen und der Priorisierung von Abhilfemaßnahmen nach Branchenstandards.

Um die Beschreibung der öffentlich bekannten Schwachstellen zu standardisieren, weist NetApp den Sicherheitsratschlägen eine CVE-ID zu. NetApp verwendet Version 3.0 des CVSS (Common Vulnerability Scoring System), um die Priorität von Schwachstellen zu ermitteln und eine Benachrichtigungsstrategie festzulegen.

Unsere Sicherheitsempfehlungen und Hinweise enthalten die von NetApp vergebene Basiskennzahl der jeweiligen Schwachstelle. Wir empfehlen Kunden, zur Schwachstellenklassifizierung das CVSS heranzuziehen und davon ausgehend eigene Werte für ihre spezifische Umgebung zu berechnen, damit die CVSS-Kennzahlen optimal genutzt werden können.

Standardverfahren zur Bereitstellung von NetApp Sicherheitsinformationen:

  • Sicherheitsempfehlungen – hierbei geht es um erhebliche Sicherheitsprobleme mit direktem Bezug zu NetApp Produkten; um Abhilfe zu schaffen, sind Upgrades, Patches oder direkte Eingriffe der Kunden erforderlich.
  • Sicherheitsbulletin – hier werden Sicherheitsprobleme von geringem bis mittlerem Schweregrad behandelt, die einen Bezug zu NetApp Produkten haben.
  • Sicherheitshinweise – diese können eingesetzt werden, wenn Dritte unbestätigte öffentliche Aussagen zu einer vermeintlichen Schwachstelle bei NetApp Produkten machen oder NetApp Produkte inoffiziell in Sicherheitsvorfälle verwickelt sind.
  • Sicherheitsfehlerberichte – hiermit werden Informationen über Sicherheitslücken von geringem Schweregrad bereitgestellt; der Zugriff darauf ist per Bugs Online möglich (Anmeldung erforderlich).

Informationen über CVE-IDs finden Sie auf der Seite Mitre.org.

Weitere Informationen zum CVSS finden Sie auf der Website FIRST.org/cvss.