**Сообщение об уязвимости безопасности продукта**

Если вы обнаружили уязвимость в продукте Uniview, пожалуйста, сообщите о проблеме в Центр реагирования на угрозы безопасности Uniview, отправив электронное письмо на адрес security@uniview.com.

Мы будем следовать установленным процедурам для решения проблемы и предоставим своевременную обратную связь.

**Скоординированное раскрытие информации**

По возможности мы стремимся сотрудничать с сообщающими сторонами для согласованного публичного раскрытия информации об уязвимости и, по запросу, указываем автора отчёта в наших публичных бюллетенях безопасности. Если вы планируете разместить информацию об уязвимости Uniview на общедоступном сайте или в ином формате, мы просим вас согласовать раскрытие с нами.

Управление уязвимостями может быть сложным процессом, и заранее установленные сроки устранения редко подходят для всех случаев. Соответственно, Uniview часто требуется достаточно времени для разработки исправлений, мер по снижению рисков и подготовки публикаций до того, как проблема может быть обнародована.

**Процесс реагирования на инциденты безопасности продуктов**

**1. Получение информации**
Uniview получает информацию о предполагаемой уязвимости по электронной почте security@uniview.com.

Мы отслеживаем проблемы безопасности и получаем отчёты об уязвимостях. Uniview ответит на отчёт как можно скорее, обычно в течение семи рабочих дней. При необходимости мы свяжемся с автором отчёта для уточнения деталей и запроса помощи.

**2. Проверка**
Центр реагирования на угрозы безопасности Uniview и соответствующие подразделения проводят проверку, подтверждают и оценивают уровень риска проблемы безопасности.

Uniview является органом по присвоению номеров CVE (CNA). Мы проверим, был ли уже назначен номер CVE для данной проблемы. Если нет — мы сами получим кандидата в CVE и убедимся, что все осведомлённые о проблеме стороны знают этот номер.

**3. Решение**
Мы разрабатываем меры по снижению рисков, исправления для устранения уязвимости и стратегию предупреждений безопасности.

**4. Раскрытие информации**
Официальное раскрытие информации об уязвимости происходит после разработки профилактических мер и исправлений.

Центр реагирования на угрозы безопасности Uniview строго контролирует распространение информации об уязвимости, ограничивая её кругом лиц, занимающихся устранением. Также мы просим автора отчёта сохранять конфиденциальность до момента публичного раскрытия.

Центр предоставляет базовые и временные метрики для уязвимостей на основе CVSSv3.1 (Common Vulnerability Scoring System). Клиенты могут самостоятельно рассчитать средовые метрики с учётом своей конкретной среды.

Uniview публикует записи о распространённых уязвимостях и эксплойтах (CVE). При необходимости Uniview опубликует соответствующий CVE в день раскрытия.

Если у вас есть вопросы о процессе реагирования на инциденты безопасности продуктов Uniview, напишите на security@uniview.com.