Imperva 和安全设计承诺：致力于卓越的网络安全

网络安全和基础设施安全局 (CISA) 为企业软件制造商推出了一项自愿性的“安全设计承诺”，重点是提高其产品和服务的安全性。该承诺概述了七项关键原则，构成了强大的安全设计理念的核心。让我们来探索这些原则以及 Imperva 如何与它们保持一致。

安全设计的七项关键原则：
1. 多因素身份验证 (MFA)：

该承诺鼓励在产品中增加 MFA 的使用，强调防网络钓鱼方法，例如默认 MFA 启用和“安全带铃声”来提醒用户。Imperva 已经在其服务中实施了强大的 MFA。

客户安全是我们的业务。我们在每个产品的基线版本中支持基于标准的单点登录 (SSO)，并实施双因素身份验证 (2FA) 以增强您的数据和我们网络的安全性。通过要求两种形式的身份验证，2FA 增加了一层额外的保护，使未经授权的用户更难访问敏感信息。这有助于我们确保您的个人和商业数据保持安全，降低安全漏洞风险并增强对我们服务的整体信任。

除了用户的常规用户 ID 和密码外，2FA 还采用受信任的第三方验证方法来确认他们的身份。对于系统级密码和内部通信凭证，我们对默认密码有严格的政策，并强制执行密码轮换。我们积极鼓励客户在适用的情况下使用更高级的身份验证方法，例如密钥对、证书和短期令牌。

2. 默认密码：

该承诺旨在消除默认密码，用更安全的身份验证取而代之。Imperva 已经采用了随机的、实例唯一的密码，并要求在安装时创建强密码。对于系统级密码和内部通信凭证，我们对默认密码有严格的政策，并强制执行密码轮换。我们积极鼓励客户在适用的情况下使用更高级的身份验证方法，例如密钥对、证书和短期令牌。

3. 减少整个漏洞类别：

此原则侧重于主动减少常见漏洞类别，例如 SQL 注入和跨站点脚本。在 Imperva，我们有一个计划，在我们的开发组织中推广安全编码原则，并实施持续的代码扫描以确保代码质量和安全性。潜在漏洞将根据严重程度和我们的漏洞处理策略进行解决。与应用程序和基础设施安全相关的安全方面是变更管理和新代码交付不可或缺的一部分。安全验收测试包括自动化工具扫描以及手动渗透测试，以确保尽早发现和处理潜在漏洞。

我们始终强制使用参数化查询来防止 SQL 注入攻击，并且我们的 Web 模板框架内置了针对跨站点脚本漏洞的保护。我们还在所有新产品中使用内存安全语言。

4. 安全补丁：

该承诺强调提高客户安全补丁的安装率。但是，有了 CloudWAF 和其他 SaaS 产品，我们的客户就无需承担修补的负担。我们内部确实遵循严格的实践。

漏洞管理是通过限制利用漏洞的能力来维护安全组织的重要组成部分。新的漏洞随时都会被发现。Imperva InfoSec 团队有一个程序来评估和解决已发现的漏洞。优先级是使用漏洞评级（例如 CVSS 分数）和现有的补偿控制来设定的，以减轻风险。

注意：修补依赖于两个过程，一个是持续的企业系统修补和漏洞扫描，以识别可能遗漏的漏洞。

Imperva 漏洞和补丁管理计划的范围包括企业和生产环境，如下所示：

笔记本电脑和办公电话

服务器（物理和虚拟）

网络设备

系统和软件（第三方应用程序和数据库等）

我们服务的生产环境，例如 Imperva Cloud WAF

Imperva Cloud WAF 第三方数据中心托管站点 (PoP)

5. 漏洞披露政策 (VDP)：

该承诺要求公开 VDP 授权公开测试，承诺不对善意报告者采取法律行动，并提供明确的报告渠道。

我们鼓励安全研究人员通过提交漏洞赏金表单与 Imperva 信息​​安全团队分享任何可疑漏洞的详细信息。然后，Imperva 会审查提交的内容，以确定发现是否有效且之前未报告过。根据 Imperva 的判断，提交的内容可能有资格获得金钱补偿。我们要求安全研究人员提供详细信息，包括分步说明，以便我们重现漏洞。更多信息可在我们的负责任披露政策中找到。

6. CVE：

该承诺促进漏洞报告的透明度，要求每个 CVE 记录中都有准确的 CWE 和 CPE 字段，并及时发布关键漏洞。对于像 CloudWAF 这样的 SaaS 解决方案，我们发现这不太重要，因为我们在发布版本之前会采取缓解任何 CVE 所需的所有必要步骤。

7. 入侵证据：

该原则侧重于使客户能够收集入侵证据。

Imperva CWAF 为客户提供所有安全日志以及访问日志，以跟踪任何访问客户应用程序的流量，无论这些流量是否被视为恶意。此外，我们还为客户提供系统上进行的任何配置更改（包括登录）的完整审计日志。我们根据客户套餐提供不同的日志保留时间范围（但基本套餐提供 30 天的保留期，无需额外付费）。

第三方验证

无论采用何种部署方法，安全解决方案都不应增加其旨在保护的环境的攻击面。此外，授予安全解决方案的权限不应被威胁行为者利用。SecureIQLab 已评估 Imperva Cloud WAAP 产品本身的安全性，并针对 11 种漏洞评估技术进行了测试，这些技术通常用于评估 WAAP 系统是否能够合理地防御网络攻击，如网络安全和基础设施安全局 (CISA) 所建议的那样。

Imperva 自豪地宣布，我们以 100% 的成绩通过了 WAAP 漏洞评估。您可以在此处阅读有关他们的调查结果的更多信息。

Imperva 坚信其对 CISA 安全设计承诺的承诺，这进一步巩固了我们作为网络安全领导者的声誉。随着我们共同迈向 2025 年，让我们都致力于通过设计让我们的世界和我们使用的技术更加安全。