作為FTC和解協議的一部分,D-Link將接受為期10年的安全審計
責編:gltian |2019-07-12 13:09:45
D-Link還必須為其路由器和安全攝像頭實現一個新的、現代化的軟件安全程序。
D-Link已同意與美國聯邦貿易委員會(Federal Trade Commission)就2017年的一項訴訟達成和解。美國聯邦貿易委員會指控這家臺灣硬件制造商歪曲其設備的安全性,無視漏洞報告。
作為和解協議的一部分,D-Link承諾為其路由器和聯網攝像頭實施新的軟件安全程序。
該公司還同意接受第三方獨立審計機構為期10年的兩年一次的安全審計。聯邦貿易委員會有權選擇審核員,而D-Link有權決定審核員在審查其安全程序之前必須獲得的認證。
D-LINK的新軟件安全程序
根據32頁的和解協議,D-Link的新軟件安全程序必須包括一系列必要的組件,如:
?參與安全規劃,以書面形式列舉功能和特性將如何影響其設備的安全性。
?進行威脅建模,以識別使用其設備傳輸的數據的安全和外部風險。
?在使用自動靜態分析工具發布產品之前,檢查源代碼并測試漏洞。
?通過維護一個共享代碼數據庫來執行正在進行的代碼維護,以便在報告或發現漏洞時幫助找到漏洞的其他實例。
?在軟件開發過程的任何階段識別出的旨在解決安全缺陷或類似安全缺陷實例的修復過程。
?對可能影響其產品的潛在漏洞進行安全研究的持續監控。
?接受安全研究人員的漏洞報告的流程,包括為安全研究人員提供指定的聯絡點,任命監督人員驗證所關注的問題。
為其設備實現自動固件更新機制。
?警告設備所有者,某個特定型號已停止接收安全更新,至少在該公司決定停止支持某個型號之前60天。
該和解協議源于2017年美國聯邦貿易委員會(FTC)的一項申訴。在該申訴中,美國聯邦貿易委員會指控這家臺灣設備制造商將其產品和移動應用程序的硬編碼證書留在固件或源代碼中,導致客戶容易遭到黑客攻擊。
友訊科技歡迎結算
在一份新聞稿中,友訊科技歡迎和解和很高興,聯邦貿易委員會沒有聲稱友訊科技是故意誤導客戶,FTC不禁止公司做出任何聲明對其設備的安全,喜歡它禁止其他物聯網供應商在各自的營銷材料。
這一和解協議與FTC與物聯網公司達成的其他協議形成了鮮明對比,這些協議包括對這些公司可能對其產品發表的言論進行非常廣泛的限制。重要的是,不同于FTC指控的其他物聯網問題的‘欺騙’,今天的擬議命令沒有包含這樣的限制,”D-Link說。
該設備制造商也很高興自己沒有收到罰款,而FTC也經常在許多和解協議中施加罰款。
聯邦貿易委員會還為D-Link的新安全計劃提供了為期兩年的安全港,這樣這家硬件制造商就可以為其新軟件安全計劃獲得所有必要的安全認證。
2016年,FTC與華碩(ASUS)達成了類似的和解。華碩在路由器也未能獲得安全保護后,同意接受20年的安全審計。