Huling na-update: September 5th, 2019
Ang Kraken Security Labs ay regular na nagsasagawa ng pananaliksik sa seguridad ng mga karaniwang ginagamit na mga application, hardware, at mga produkto. Ginagawa ang pananaliksik upang turuan at protektahan ang mga end user ng naturang serbisyo at produkto. Ang patakarang ito ay naglalarawan kung paano pinangangasiwaan ng Kraken Security Labs ang responsableng pagkakalantad ng vulnerability o kahinaan kapag aming natuklasan ang mga kahinaan sa seguridad sa mga produkto at serbisyo ng third party.
Ipagbibigay-alam ng Kraken Security Labs sa naturang vendor ang anumang depekto sa seguridad ng kanilang (mga) produkto at/o (mga) serbisyo. Ang unang pagtatangka sa pakikipag-ugnay ay sa pamamagitan ng anumang naaangkop na mga contact o pormal na pamamaraan na nakalista sa web site ng vendor. Kung hindi naipahayag ang naturang impormasyon sa pakikipag-ugnay, ang Kraken Security Labs ay pagsusumikapang makahanap ng paraan upang makipag-ugnayan. Kapag natagpuan ang isang pormal o naaangkop na pamamaraan ng pakikipag-ugnay, ligtas na maipapadala sa vendor ang impormasyon tungkol sa vulnerability.
Kung hindi tinatanggap ng vendor ang paunang abiso sa loob ng limang (5) business days, ang Kraken Security Labs ay magsisimula ng pangalawang pakikipag-ugnay sa vendor. Kung ang Kraken Security Labs ay naubos na ang lahat ng paraan sa itaas upang makipag-ugnay sa vendor, ang Kraken Security Labs ay maaaring mag-isyu ng isang public advisory patungkol sa natuklasan nito labinlimang (15) business days mula sa paunang pagtatangka ng pakikipag-ugnay.
Kung ang vendor ay tumugon sa loob ng takdang oras na nasasaad sa itaas, ang Kraken Security Labs ay hihingan ang vendor ng kakailanganin nitong timeframe para sa remediation. Pinahihintulutan ng Kraken Security Labs ang vendor hanggang sa siyamnapung (90) araw ng kalendaryo upang matugunan ang kahinaan sa isang patch. Sa pagtatapos ng takdang oras o mas maaga (kung ipinaalam ng vendor), kung ang kahinaan ay na-patch, o kung ang vendor ay hindi tumutugon o hindi makapagbigay ng isang makatwirang pahayag kung bakit ang vulnerability ay hindi naayos, ang Kraken Security Labs ay maglalathala ng isang advisory na magagamit ng publiko kasama ang mga rekomendasyon sa pag-iwas upang maprotektahan ang mga end user.
Ang Kraken Security Labs ay pagsusumikapang makipag-ugnayan sa vendor upang matiyak na nauunawaan nila ang mga teknikal na detalye at kalubhaan ng isang naiulat na depekto sa seguridad. Kung ang isang vendor ng produkto ay hindi makakaya, o pinipili na hindi, mag-patch ng isang partikular na depekto sa seguridad, maaaring mag-alok ang Kraken Security Labs na magtrabaho kasama ang vendor na iyon na ibunyag sa publiko ang depekto na may mga ilang epektibong workaround.
Kung sakaling naramdaman ng Kraken Security na nararapat na agad na maalerto ang pangkalahatang publiko tungkol sa isang vulnerability dahil sa panganib o kaligtasan ng end user ng isang produkto o serbisyo, ang Kraken Security Labs ay magkasabay na ipapaalam sa vendor at ang pangkalahatang publiko ang tungkol sa natuklasan nito. Sa patuloy na pakikipag-ugnayan sa vendor, ang Kraken Security Labs ay dapat na ilista ang mga factor na ginamit sa pagpapasya na agad na mai-publish ang mga natuklasan.