GE Healthcare 协同漏洞披露声明 v2.0

GE Healthcare 鼓励责任性安全研究

GE Healthcare 认识到安全研究人员在促进医疗设备行业(特别是医疗生态系统)的安全设计实践和降低安全风险方面所发挥的重要作用。我们重视安全研究人员所做的工作,并鼓励以协调和负责任的方式与我们就发现的漏洞和建议的披露进行积极主动的沟通。本文件列出了我们对进行 GE Healthcare 产品安全研究的研究人员的期望,以及他们对我们的期望。

作用范围

本协同漏洞披露声明适用于 GE Healthcare 的所有商用产品。安全研究人员和 GE Healthcare 的共同目标应该始终是降低风险,并适当考虑到任何发现的漏洞对整个操作环境的影响。

报告先决条件

在整个研究和披露过程中,包括初步研究和测试,安全研究人员必须遵守以下先决条件:

  • 遵守贵方所在地以及 GE Healthcare 产品所在地的所有适用法律法规;
  • 不得利用漏洞采取不适当的行动,例如利用漏洞来证明其存在、从产品中删除敏感数据、在产品中创建后门或以其他方式将漏洞引入产品中供后续使用;
  • 如有伤害患者的风险,切勿从事研究或测试系统;
  • 不得在临床环境或其他活动环境中测试产品或网络基础设施,以防产品被用于任何类型的患者诊断、治疗、护理或监控,或可能在无意中以这种方式使用;
  • 测试结束时,任何预期用于临床环境的后续使用的产品都应该恢复到其原始状态。联系 GE Healthcare 以获取服务协助;
  • 在进行任何测试之前,确保事先获得 GE 产品所有者的书面许可,以确保范围明确;
  • 在与 GE Healthcare 共同商定的期限到期之前,不得向公众披露漏洞细节;
  • 不得在本文件所述范围之外操作;以及
  • 务必及时向我们提供与监管机构或其他第三方就任何发现的漏洞进行沟通的详细信息。

如何提交漏洞

如欲向 GE Healthcare 产品安全团队提交漏洞, 请发送电子邮件至 (GEHealthcareCVD@GE.com)。请使用我们下面的 PGP 密钥或其他合适的加密工具来保护任何敏感信息。请勿将敏感数据(如可识别的患者数据)包含在通信正文或任何附件(如屏幕截图、图像或日志文件)中。

首选项、优先级和验收标准

我们对您的要求和期望:

  • 以英文书写、结构合理的报告有更高获得通过的机会;
  • 包括产品的地理位置、确切型号和序列号等重要细节,以及软件的修改和获得系统的方法,以有利于优先处理;
  • 报告中包括概念验证代码的报告,以便我们能够更好地进行分类;
  • 不在本声明范围内的产品或环境报告可能不予优先处理;
  • 关于您如何发现漏洞、您所看到的影响、您对 CVSS 评分的想法和建议的补救措施等所有信息,将有助于支持与我们的有效互动;
  • 包括您向我们披露信息的目的或任何公开披露的意图;以及
  • 切勿将本渠道用于报告关于目前使用中的 GE 产品的投诉。 所有有关 GE Healthcare 产品使用中的安全性或性能的客户投诉应直接向 GE Healthcare 服务代表提出

您对我们的期望:

  • 我们将在四(4)个工作日内确认收到您的邮件;
  • 在接下来的初步分类和评估阶段,GE Healthcare 产品安全团队的适当成员可能会联系您,以便:
    • 请求其他信息或
    • 沟通预期的过程和时间表,或
    • 通知被报告的漏洞由于不满足程序要求或未提供足够的细节而不被程序接受;
  • 一旦收集到足够的资料,并接纳报告,我们会:
    • 进一步评估报告,并联合相关的安全和产品工程团队进行调查;
    • 在调查和补救的整个过程中进行沟通,对时间有明确的预期;以及
    • 传达我们的最终结论;
  • 我们将为安全研究员提供公众认可(如果要求),并确认报告是否需要公开披露。

如有必要,GE Healthcare 可请求中立的第三方协助解决问题。

通过提交请求,您承认 GE Healthcare 可以不受限制地(并允许其他人采取相同做法)使用您提供给 GE Healthcare 的任何数据或信息。您提交的内容不会授予您 GE Healthcare 知识产权下的任何权利,也不构成 GE Healthcare 的任何义务。