Zásady zveřejňování informací o zranitelnosti

Poslední aktualizace: 5. září 2019

Kraken Security Labs rutinně provádí výzkum zabezpečení běžně používaných aplikací, hardwaru a produktů. Výzkum se provádí za účelem vzdělávání a ochrany koncových uživatelů těchto služeb a produktů. Tyto zásady popisují, jak Kraken Security Labs řeší odpovědné zveřejňování informací o zranitelnostech, když objevíme bezpečnostní zranitelnosti v produktech a službách třetích stran.

Kraken Security Labs upozorní příslušného dodavatele na bezpečnostní chybu v jeho produktu(ech) a/nebo službě(ách). První pokus o kontakt proběhne prostřednictvím jakýchkoli vhodných kontaktů nebo formálních mechanismů uvedených na webových stránkách dodavatele. Pokud takové kontaktní informace nejsou zveřejněny, Kraken Security Labs vynaloží maximální úsilí k nalezení vhodného kontaktního média. Jakmile bude nalezen formální nebo vhodný kontaktní mechanismus, relevantní informace o zranitelnosti budou bezpečně předány dodavateli.

Pokud dodavatel nepotvrdí počáteční oznámení do pěti (5) pracovních dnů, Kraken Security Labs zahájí druhý kontakt s dodavatelem. Pokud Kraken Security Labs vyčerpá všechny výše uvedené prostředky pro kontaktování dodavatele, pak Kraken Security Labs může vydat veřejné oznámení zveřejňující svá zjištění patnáct (15) pracovních dnů po pokusu o počáteční kontakt.

Pokud je odpověď dodavatele obdržena v rámci výše uvedeného časového rámce, Kraken Security Labs požaduje, aby dodavatel specifikoval požadovaný časový rámec pro nápravu. Kraken Security Labs poskytne dodavateli až devadesát (90) kalendářních dnů na odstranění zranitelnosti pomocí opravy. Na konci lhůty nebo dříve (pokud dodavatel oznámí), pokud byla zranitelnost opravena, nebo pokud dodavatel nereaguje nebo není schopen poskytnout rozumné vysvětlení, proč zranitelnost není opravena, Kraken Security Labs zveřejní veřejně dostupné oznámení včetně doporučení pro zmírnění rizik ve snaze chránit koncové uživatele.

Kraken Security Labs vynaloží veškeré úsilí, aby spolupracovala s dodavateli a zajistila, že rozumí technickým detailům a závažnosti nahlášené bezpečnostní chyby. Pokud dodavatel produktu není schopen nebo se rozhodne neopravit konkrétní bezpečnostní chybu, Kraken Security Labs může nabídnout spolupráci s tímto dodavatelem na veřejném zveřejnění chyby s některými účinnými řešeními.

V případě, že Kraken Security usoudí, že je vhodné okamžitě upozornit širokou veřejnost na zranitelnost z důvodu rizika nebo bezpečnosti koncového uživatele produktu nebo služby, pak Kraken Security Labs současně informuje dodavatele i širokou veřejnost o svých zjištěních. V komunikaci s dodavatelem Kraken Security Labs uvede faktory použité při rozhodování o okamžitém zveřejnění svých zjištění.