Sungrow PSIRTについて

Sungrow製品セキュリティインシデント対応チーム（PSIRT）は、Sungrow製品のセキュリティ脆弱性を受信、調査、開示する専門チームです。Sungrowは脆弱性を、攻撃者が悪用すると製品の完全性、可用性、または機密性を損なう可能性のある悪用可能なセキュリティ問題と定義します。脆弱性は品質欠陥と同等ではありません。品質欠陥は特定の条件下でトリガーされ、攻撃者によって悪用されませんが、脆弱性はトリガーされる前に攻撃者によって悪用される必要があります。

サングロウPSIRTは以下の約束をします:

セキュリティ管理と開発プロセスを管理するためにIEC 62443-4-1を使用しています。製品やサービスの脆弱性を減らし、サングロウ製品/サービスの脆弱性による顧客/ユーザーへの危害やセキュリティリスクを軽減または排除するための対策を取ります。製品やサービスで脆弱性が発見された後、顧客/ユーザーにリスク軽減策を迅速に提供します。脆弱性管理の責任と要件（事業運営に関する適用される法律/規制、契約要件、適用される公共基準を含む）を積極的に特定し、脆弱性を積極的に管理するシステムを構築します。脆弱性管理プロセスと基準を継続的に最適化し、業界標準とベストプラクティスから学び、脆弱性管理の成熟度を向上させます。

疑わしい脆弱性の報告

サングロウは責任ある脆弱性開示と処理プロセスをサポートし、セキュリティ研究者、業界団体、顧客、サプライヤーにサングロウ製品の疑わしい脆弱性をサングロウPSIRTに報告することを奨励しています。脆弱性を発見した場合は、脆弱性の説明（具体的な製品モデル、ソフトウェアバージョンなどを含む）をメールでpsirt@sungrowpower.comそして連絡先情報を残してください。通常、提出から1営業日以内に確認メールが送信され、7営業日以内に検証メールが送信されます。その後、脆弱性対応プロセス中に最新の進捗状況を随時お知らせします。

脆弱性対応プロセスを通じて、当社のPSIRTは、脆弱性情報が関連する担当者のみに転送されることを厳格に確保しています。完全な解決策がお客様に提供されるまで、情報を機密に保つようお願い申し上げます。法的コンプライアンス要件に基づき、取得したデータを保護するための必要かつ合理的な措置を講じます。法律または影響を受けたお客様から要求されない限り、データを積極的に共有または開示することはありません。

脆弱性対応プロセス：

疑わしい脆弱性を受け取った後、当社のPSIRTは関連する製品チームと協力して脆弱性を分析/検証し、製品への実際の影響に基づいてその深刻度を評価し、修復の優先順位を決定し、修復策（顧客が実施可能な緩和策、パッチ/バージョン、その他のリスク緩和策を含む）を開発します。

製品開発、納入、展開中にサプライヤーが提供する製品やサービスに脆弱性を発見した場合、当社は脆弱性修復のためにサプライヤーに積極的に連絡します。