Traitement des réponses aux incidents liés à la sécurité produits

NetApp suit une procédure standard pour traiter les failles et informer ses clients.

Rapport sur les failles : NetApp encourage les entreprises et les chercheurs à utiliser des e-mails cryptés avec PGP pour transmettre des informations confidentielles à leurs équipes chargées du traitement des failles (Vulnerability Response Team (PSIRT)). NetApp mènera des investigations sur toute faille potentielle dans ses produits et confirmera la réception du rapport sur la faille sous sept jours ouvrés.

Vérification : les ingénieurs PSIRT de NetApp vérifieront la faille et fourniront une évaluation de vulnérabilité dans la structure CVSS.

Développement de la résolution : NetApp s’efforce de fournir des correctifs et des solutions alternatives à la base client aussi rapidement que les normes de contrôle qualité le permettent ; les étapes de test et de vérification sont souvent longues. 

Notification : NetApp divulgue uniquement les informations dont le client a besoin pour évaluer l'impact de la faille dans son environnement, ainsi que toute démarche à entreprendre pour écarter la menace. NetApp ne fournit aucun détail susceptible de permettre à une personne malveillante d'exploiter une faille.

Attribution : NetApp indemnisera les personnes qui ont découvert des failles pour leur rôle de conseil à la condition qu'elles aient explicitement accepté d’être identifiées, qu'elles autorisent NetApp à corriger les failles et à informer sa base client avant que la faille soit révélée au public.


Lorsque vous signalez une faille, consultez les rapports sur les failles existantes NetApp pour vous assurer qu'il s'agit d'une nouvelle vulnérabilité.