Enea製品のセキュリティ

ESRT(Enea Security Response Team)は、Eneaの製品やソリューションに影響を与えるセキュリティ脆弱性を随時モニター、解析、管理しています。また、セキュリティ脆弱性の検出と対処において、関連するセキュリティ・フォーラムと連携を図っています。

 

脆弱性の報告

Eneaとすでにお取引のあるお客様は、問題追跡システムからセキュリティ脆弱性をご報告いただけます。ご報告いただいた脆弱性は、ESRTが調査し対応いたします。Eneaのソリューション/製品の使用を許可されているその他のユーザーの方が脆弱性をご報告いただく場合、またはセキュリティに関するお問い合わせをいただく場合には、電子メールでESRT(security@enea.com)にご連絡ください。ESRTのスタッフは、Eneaのお客様からご報告いただいたセキュリティ脆弱性の詳細を一切公開しないことに同意いたします。また、OSS(Open Source Security:OSS-Security)の情報公開禁止期間も遵守いたします。

脆弱性を報告する

 

ESRTに安全な方法で連絡するには

潜在的なセキュリティ脆弱性に関する情報は機密性が高いため、セキュリティが確保された方法で取り扱う必要があります。通信を安全に行うためには、メッセージを暗号化し、次のメールアドレスまでお送りください。

Sona [dot] Sarmadi [at] enea [dot] com (送信時にはこのPGPキーをお使いください)

ESRTにお問い合わせいただく際には、安全なチャネルを介して通信できるよう、公開鍵をご提供ください。

 

Enea Linuxのセキュリティに関する通知

Enea Linuxのセキュリティに関する通知メーリング・リストをご購読いただくと、Eneaのリリース・アーカイブで新しいセキュリティ・パッチが公開されたときに通知を配信いたします。

ご購読はこちら

Eneaのセキュリティ更新とCVEデータベース

Eneaは、数十年にわたるOSの経験から、セキュリティ・リスク対策について豊富な経験とノウハウを有しています。Eneaは、OSS Security Groupに参加することで戦略的な立場を活かし、脆弱性を早期に検知してセキュリティ・パッチを迅速にデプロイすることができます。

CVEデータベースはこちら

セキュリティ対策におけるコラボレーション 

オープンソース・ソフトウェアのセキュリティには、クローズド・ソフトウェアとは全く異なる特殊な課題が数多く存在します。ソフトウェア開発でオープンな共同開発アプローチを採用することは、品質と生産性の向上につながります。

しかし一方で、堅牢性が確保されているとはいえ、ソースコードが公開されることにより、以前では考えられなかったリスクや脆弱性にさらされることも事実であり、オープンソースのセキュリティには取り扱いが極めて難しい側面があります。

OSS Securityのメンバーとして

OSS Security傘下のコミュニティは、CVE(Common Vulnerabilities and Exposures:共通脆弱性識別子)のディクショナリに報告されたセキュリティ脆弱性を追跡し、これらについてオープンな意見交換を行っています。ソフトウェアメーカーだけでなく、ソフトウェア・コミュニティもCVEとOSS-Securityを利用してセキュリティ脆弱性を共有し、対応しています。

このため、OSS-SecurityのメンバーとしてESRTを通じて積極的に活動するEneaは、コミュニティがセキュリティ脆弱性を検出した際により早く情報を入手できる立場にあります。

セキュリティ・インシデント・マネジメントのプロセス

Eneaの社内外でセキュリティ脆弱性が検出された場合やお客様からご報告を受けた場合、ESRTは排他的な調査を実施し、最終的にさまざまなシナリオでの修正の開発に貢献しています。解決策が社内で開発され、関連するオープンソース・プロジェクトに寄与される場合もありますが、既存パッチの適用が解決策となり、結果として統合と検証を伴う場合もあります。いずれにしても、通常は関連するアップストリーム・プロジェクトと連携して対応します。