公共反馈接口
安全研究人员可以通知Rakoit设备的安全漏洞。
Rakoit官方网站 :https://www.rakoit.com
Rakoit保安部的联系人:info@rakoit.com
软件维护更新策略
监控第三方组件的版本更新,并更新到最新版本,以避免已知漏洞的存在。
对严重漏洞的修复将被捆绑在现有的更新中。
当发现任何漏洞时,请按以下方式更新固件。
1.由客户、用户等发现的漏洞。
2.必须立即召开安全相关的审查会议,并需要提出相应的解决方案。特别是,与会者必须包括项目开发经理、技术总监和负责固件开发的外部人员。CVSSv2将被用作评估和确定漏洞优先级的参考标准。
3.根据解决方案,开发人员进行具体实施。
4.代码审查。审查人员应包括安全技术经理和项目开发。
5.发布固件。
6.QA团队测试该固件。如果有任何问题,请回到第三步。
7.代码合并到主干分支。
8.项目经理通知客户,需要更新软件,并得到客户的升级确认。
9.在相应的项目上执行OTA。
安全响应计划
如果出现了安全事件,必须将该事件作为最优先事项来处理。最高管理层必须了解这一事件并参与事件处理。
如果该事件是一个软件维护问题,那么将按照本文件中 "软件维护更新策略 "的流程来处理。
应立即召开一次内部会议。参与者是Rakoit和解决方案供应商。会议需要收集信息,明确事故的情况,以及对事故补救的估计时间安排。如果有特殊的重大影响事故,Rakoit将与客户讨论补救的时间安排。
Rakoit将在24小时内联系亚马逊,通知可能危及设备或与设备相关的服务的安全事件,包括Alexa用户令牌和与Alexa APIs的通信。