Dasar Pendedahan Kerentanan
Terakhir dikemas kini: 5 September 2019
Kraken Security Labs secara rutin menjalankan penyelidikan terhadap keselamatan aplikasi, perkakasan dan produk yang biasa digunakan. Penyelidikan ini dilakukan untuk mendidik dan melindungi pengguna akhir perkhidmatan dan produk tersebut. Dasar ini menggariskan cara Kraken Security Labs mengendalikan pendedahan kerentanan yang bertanggungjawab apabila kami menemui kerentanan keselamatan dalam produk dan perkhidmatan pihak ketiga.
Kraken Security Labs akan memberitahu vendor yang sesuai tentang kelemahan keselamatan dalam produk dan/atau perkhidmatan mereka. Percubaan pertama untuk menghubungi akan melalui mana-mana kenalan yang sesuai atau mekanisme rasmi yang disenaraikan di laman web vendor. Jika maklumat hubungan tersebut tidak disiarkan, Kraken Security Labs akan berusaha sedaya upaya untuk mencari medium hubungan yang sesuai. Setelah mekanisme hubungan rasmi atau sesuai ditemui, maklumat berkaitan tentang kerentanan akan dihantar dengan selamat kepada vendor.
Jika vendor gagal mengakui pemberitahuan awal dalam tempoh lima (5) hari bekerja, Kraken Security Labs akan memulakan hubungan kedua dengan vendor. Jika Kraken Security Labs telah menggunakan semua cara di atas untuk menghubungi vendor, maka Kraken Security Labs boleh mengeluarkan nasihat awam yang mendedahkan penemuannya lima belas (15) hari bekerja selepas percubaan hubungan awal.
Jika respons vendor diterima dalam tempoh masa yang digariskan di atas, Kraken Security Labs meminta vendor untuk menyatakan tempoh masa yang diingini untuk pemulihan. Kraken Security Labs akan membenarkan vendor sehingga sembilan puluh (90) hari kalendar untuk menangani kerentanan dengan tampalan. Pada akhir tempoh atau lebih awal (jika diberitahu oleh vendor), jika kerentanan telah ditampal, atau jika vendor tidak responsif atau tidak dapat memberikan kenyataan yang munasabah mengapa kerentanan tidak diperbaiki, Kraken Security Labs akan menerbitkan nasihat yang tersedia secara umum termasuk cadangan mitigasi dalam usaha untuk melindungi pengguna akhir.
Kraken Security Labs akan berusaha sedaya upaya untuk bekerjasama dengan vendor bagi memastikan mereka memahami butiran teknikal dan tahap keterukan kelemahan keselamatan yang dilaporkan. Jika vendor produk tidak dapat, atau memilih untuk tidak, menampal kelemahan keselamatan tertentu, Kraken Security Labs mungkin menawarkan untuk bekerjasama dengan vendor tersebut untuk mendedahkan kelemahan itu secara umum dengan beberapa penyelesaian yang berkesan.
Sekiranya Kraken Security merasakan adalah wajar untuk segera memaklumkan kepada orang awam tentang kerentanan disebabkan oleh risiko atau keselamatan kepada pengguna akhir produk atau perkhidmatan, maka Kraken Security Labs akan serentak menasihati vendor dan orang awam tentang penemuannya. Dalam komunikasi kepada vendor, Kraken Security Labs akan menyenaraikan faktor-faktor yang digunakan dalam membuat keputusan untuk segera menerbitkan penemuannya.