Sebezhetőségi közzétételi irányelv

Utolsó frissítés: 2019. szeptember 5.

A Kraken Security Labs rendszeresen kutatást végez az általánosan használt alkalmazások, hardverek és termékek biztonságával kapcsolatban. A kutatás célja az ilyen szolgáltatások és termékek végfelhasználóinak oktatása és védelme. Ez az irányelv felvázolja, hogy a Kraken Security Labs hogyan kezeli a felelős sebezhetőségi közzétételt, amikor biztonsági sebezhetőségeket fedez fel harmadik féltől származó termékekben és szolgáltatásokban.

A Kraken Security Labs értesíti a megfelelő szállítót a termék(ek)ben és/vagy szolgáltatás(ok)ban található biztonsági hibáról. Az első kapcsolatfelvételi kísérlet a szállító weboldalán felsorolt megfelelő kapcsolattartókon vagy hivatalos mechanizmusokon keresztül történik. Ha ilyen kapcsolattartási információ nem szerepel, a Kraken Security Labs mindent megtesz a megfelelő kapcsolattartási mód megtalálására. Miután megtalálták a hivatalos vagy megfelelő kapcsolattartási mechanizmust, a sebezhetőséggel kapcsolatos releváns információkat biztonságosan továbbítják a szállítónak.

Ha a szállító öt (5) munkanapon belül nem igazolja vissza a kezdeti értesítést, a Kraken Security Labs második kapcsolatfelvételt kezdeményez a szállítóval. Ha a Kraken Security Labs az összes fenti eszközt kimeríti a szállítóval való kapcsolatfelvétel érdekében, akkor a Kraken Security Labs nyilvános figyelmeztetést adhat ki, amelyben közzéteszi megállapításait tizenöt (15) munkanappal az első kapcsolatfelvételi kísérlet után.

Ha a szállító válasza a fent vázolt időkereten belül megérkezik, a Kraken Security Labs kéri, hogy a szállító határozzon meg egy kívánt időkeretet a javításra. A Kraken Security Labs legfeljebb kilencven (90) naptári napot biztosít a szállítónak a sebezhetőség javítására egy javítással. A határidő lejártakor vagy korábban (ha a szállító értesíti), ha a sebezhetőséget javították, vagy ha a szállító nem reagál, vagy nem tud ésszerű magyarázatot adni arra, hogy miért nem javították a sebezhetőséget, a Kraken Security Labs nyilvánosan elérhető figyelmeztetést tesz közzé, amely enyhítési javaslatokat is tartalmaz a végfelhasználók védelme érdekében.

A Kraken Security Labs mindent megtesz annak érdekében, hogy együttműködjön a szállítókkal, biztosítva, hogy megértsék a bejelentett biztonsági hiba technikai részleteit és súlyosságát. Ha egy termékszállító nem tudja, vagy nem kívánja javítani egy adott biztonsági hibát, a Kraken Security Labs felajánlhatja, hogy együttműködik a szállítóval a hiba nyilvános közzétételében, néhány hatékony áthidaló megoldással.

Abban az esetben, ha a Kraken Security úgy ítéli meg, hogy a termék vagy szolgáltatás végfelhasználójára nézve fennálló kockázat vagy biztonság miatt azonnal értesíteni kell a nyilvánosságot egy sebezhetőségről, akkor a Kraken Security Labs egyidejűleg tájékoztatja a szállítót és a nyilvánosságot a megállapításairól. A szállítóval folytatott kommunikációban a Kraken Security Labs felsorolja azokat a tényezőket, amelyeket a megállapítások azonnali közzétételének eldöntésekor figyelembe vettek.