Signaler une vulnérabilité de sécurité de l’ordinateur ou du logiciel OSIsoft

OSIsoft examine tous les rapports de vulnérabilités de sécurité affectant les produits et services d’OSIsoft. Si vous pensez avoir trouvé une vulnérabilité de sécurité OSIsoft, nous voulons collaborer avec vous pour investiguer dessus.

Pour signaler une vulnérabilité :

Temps de réponse :

Vous recevrez une réponse dans les 24 heures. Si pour une raison quelconque vous ne recevez pas de réponse, veuillez nous contacter pour vous assurer que nous avons bien reçu votre message.

Éléments à inclure dans votre rapport :

Pour nous aider à mieux comprendre la nature et la portée du problème potentiel, veuillez inclure autant d’informations que possible, notamment :

  • le type de problème (débordement de mémoire tampon, injection SQL, script intersites, etc.) ;
  • le produit et la version qui contiennent le bogue, ou l'URL pour un service en ligne ;
  • les versions des service packs, des mises à jour de sécurité ou d’autres mises à jour de produit que vous avez installés ;
  • toute configuration spéciale requise pour reproduire le problème ;
  • les instructions étape par étape pour reproduire le problème sur une nouvelle installation ;
  • le code de la preuve de concept ou de l’exploit ;
  • l'impact du problème, y compris comment un attaquant pourrait l’exploiter.

Informations supplémentaires :

OSIsoft applique une Politique de divulgation éthique et pour protéger l'écosystème, nous exigeons la coordination avec les personnes qui nous font des signalements.

Les destinataires d'e-mails sur OSIsoft.com sont protégés par StartTLS avec une négociation par expéditeur (vous pouvez vérifier les paramètres sur CheckTLS.com). Demandez une clé à notre commandant en charge des incidents si vous préférez utiliser la messagerie PGP pour les informations plus sensibles.

Si vous souhaitez rester anonyme, nous honorerons votre demande. OSIsoft apprécie l’opportunité de travailler en collaboration avec les chercheurs et les utilisateurs pour comprendre et corriger les problèmes chaque fois que possible.

Pour plus d’informations, consultez la définition d’une vulnérabilité de sécurité par Microsoft ainsi que le livre blanc du Groupe de travail conjoint sur les systèmes de contrôle industriel ICS-CERT intitulé « Common Industrial Control System Vulnerability Disclosure Framework ».

©2021 OSIsoft, LLC