দুর্বলতা প্রকাশের নীতি

সর্বশেষ আপডেট করা হয়েছে: ৫ সেপ্টেম্বর, ২০১৯

ক্র্যাকেন সিকিউরিটি ল্যাবস নিয়মিতভাবে সাধারণত ব্যবহৃত অ্যাপ্লিকেশন, হার্ডওয়্যার এবং পণ্যের নিরাপত্তা নিয়ে গবেষণা পরিচালনা করে। এই গবেষণা এই ধরনের পরিষেবা এবং পণ্যের শেষ ব্যবহারকারীদের শিক্ষিত ও সুরক্ষিত করার জন্য করা হয়। এই নীতিতে বর্ণনা করা হয়েছে যে ক্র্যাকেন সিকিউরিটি ল্যাবস কীভাবে তৃতীয় পক্ষের পণ্য ও পরিষেবাগুলিতে নিরাপত্তা দুর্বলতা আবিষ্কার করলে দায়িত্বশীল দুর্বলতা প্রকাশ পরিচালনা করে।

ক্র্যাকেন সিকিউরিটি ল্যাবস তাদের পণ্য(গুলি) এবং/অথবা পরিষেবা(গুলি)-এর মধ্যে একটি নিরাপত্তা ত্রুটি সম্পর্কে উপযুক্ত বিক্রেতাকে অবহিত করবে। যোগাযোগের প্রথম প্রচেষ্টা বিক্রেতার ওয়েবসাইটে তালিকাভুক্ত যেকোনো উপযুক্ত যোগাযোগ বা আনুষ্ঠানিক পদ্ধতির মাধ্যমে হবে। যদি এই ধরনের যোগাযোগের তথ্য পোস্ট করা না হয়, তাহলে ক্র্যাকেন সিকিউরিটি ল্যাবস একটি উপযুক্ত যোগাযোগের মাধ্যম খুঁজে বের করার জন্য যথাসাধ্য চেষ্টা করবে। একবার একটি আনুষ্ঠানিক বা উপযুক্ত যোগাযোগের পদ্ধতি খুঁজে পাওয়া গেলে, দুর্বলতা সম্পর্কিত প্রাসঙ্গিক তথ্য বিক্রেতার কাছে নিরাপদে প্রেরণ করা হবে।

যদি বিক্রেতা পাঁচ (৫) কার্যদিবসের মধ্যে প্রাথমিক বিজ্ঞপ্তি স্বীকার করতে ব্যর্থ হয়, তাহলে ক্র্যাকেন সিকিউরিটি ল্যাবস বিক্রেতার সাথে দ্বিতীয়বার যোগাযোগ শুরু করবে। যদি ক্র্যাকেন সিকিউরিটি ল্যাবস বিক্রেতার সাথে যোগাযোগ করার জন্য উপরের সমস্ত উপায় ব্যবহার করে ফেলে, তাহলে প্রাথমিক যোগাযোগের চেষ্টার পনেরো (১৫) কার্যদিবস পরে ক্র্যাকেন সিকিউরিটি ল্যাবস তার অনুসন্ধানগুলি প্রকাশ করে একটি সর্বজনীন পরামর্শ জারি করতে পারে।

যদি উপরে বর্ণিত সময়সীমার মধ্যে বিক্রেতার প্রতিক্রিয়া পাওয়া যায়, তাহলে ক্র্যাকেন সিকিউরিটি ল্যাবস বিক্রেতাকে প্রতিকারের জন্য একটি কাঙ্ক্ষিত সময়সীমা নির্দিষ্ট করতে অনুরোধ করে। ক্র্যাকেন সিকিউরিটি ল্যাবস বিক্রেতাকে একটি প্যাচ দিয়ে দুর্বলতা সমাধানের জন্য নব্বই (৯০) ক্যালেন্ডার দিন পর্যন্ত সময় দেবে। সময়সীমার শেষে বা তার আগে (যদি বিক্রেতা দ্বারা অবহিত করা হয়), যদি দুর্বলতা প্যাচ করা হয়ে থাকে, অথবা যদি বিক্রেতা প্রতিক্রিয়াশীল না হয় বা দুর্বলতা কেন ঠিক করা হয়নি সে সম্পর্কে একটি যুক্তিসঙ্গত বিবৃতি দিতে অক্ষম হয়, তাহলে ক্র্যাকেন সিকিউরিটি ল্যাবস শেষ ব্যবহারকারীদের সুরক্ষার প্রচেষ্টায় প্রশমন সুপারিশ সহ একটি সর্বজনীনভাবে উপলব্ধ পরামর্শ প্রকাশ করবে।

ক্র্যাকেন সিকিউরিটি ল্যাবস বিক্রেতাদের সাথে কাজ করার জন্য সর্বাত্মক চেষ্টা করবে যাতে তারা একটি রিপোর্ট করা নিরাপত্তা ত্রুটির প্রযুক্তিগত বিবরণ এবং তীব্রতা বুঝতে পারে। যদি কোনো পণ্য বিক্রেতা একটি নির্দিষ্ট নিরাপত্তা ত্রুটি প্যাচ করতে অক্ষম হয় বা না করে, তাহলে ক্র্যাকেন সিকিউরিটি ল্যাবস সেই বিক্রেতার সাথে কাজ করার প্রস্তাব দিতে পারে যাতে কিছু কার্যকর বিকল্প সমাধান সহ ত্রুটিটি প্রকাশ্যে প্রকাশ করা যায়।

যদি ক্র্যাকেন সিকিউরিটি মনে করে যে একটি পণ্য বা পরিষেবার শেষ ব্যবহারকারীর ঝুঁকি বা নিরাপত্তার কারণে দুর্বলতা সম্পর্কে অবিলম্বে সাধারণ জনগণকে সতর্ক করা উপযুক্ত, তাহলে ক্র্যাকেন সিকিউরিটি ল্যাবস একই সাথে বিক্রেতা এবং সাধারণ জনগণকে তার অনুসন্ধানগুলি সম্পর্কে অবহিত করবে। বিক্রেতার সাথে যোগাযোগে ক্র্যাকেন সিকিউরিটি ল্যাবস তার অনুসন্ধানগুলি অবিলম্বে প্রকাশ করার সিদ্ধান্ত নেওয়ার ক্ষেত্রে ব্যবহৃত কারণগুলি তালিকাভুক্ত করবে।