Retningslinjer for offentliggjøring av sårbarheter

Sist oppdatert: 5. september 2019

Kraken Security Labs utfører rutinemessig forskning på sikkerheten til ofte brukte applikasjoner, maskinvare og produkter. Forskningen utføres for å utdanne og beskytte sluttbrukere av slike tjenester og produkter. Denne retningslinjen beskriver hvordan Kraken Security Labs håndterer ansvarlig offentliggjøring av sårbarheter når vi oppdager sikkerhetssårbarheter i tredjepartsprodukter og -tjenester.

Kraken Security Labs vil varsle den aktuelle leverandøren om en sikkerhetsfeil i deres produkt(er) og/eller tjeneste(r). Det første forsøket på kontakt vil skje via passende kontakter eller formelle mekanismer oppført på leverandørens nettsted. Hvis slik kontaktinformasjon ikke er publisert, vil Kraken Security Labs gjøre sitt beste for å finne et passende kontaktmedium. Når en formell eller passende kontaktmekanisme er funnet, vil relevant informasjon om sårbarheten bli sikker overført til leverandøren.

Hvis leverandøren ikke bekrefter den første varslingen innen fem (5) virkedager, vil Kraken Security Labs starte en andre kontakt med leverandøren. Hvis Kraken Security Labs har uttømt alle de ovennevnte midlene for å kontakte leverandøren, kan Kraken Security Labs utstede en offentlig kunngjøring som avslører funnene femten (15) virkedager etter forsøket på første kontakt.

Hvis et svar fra leverandøren mottas innenfor den tidsrammen som er skissert ovenfor, ber Kraken Security Labs leverandøren spesifisere en ønsket tidsramme for utbedring. Kraken Security Labs vil gi leverandøren opptil nitti (90) kalenderdager til å rette sårbarheten med en oppdatering. Ved utløpet av fristen eller tidligere (hvis varslet av leverandøren), hvis sårbarheten er rettet, eller hvis leverandøren ikke svarer eller ikke kan gi en rimelig forklaring på hvorfor sårbarheten ikke er rettet, vil Kraken Security Labs publisere en offentlig tilgjengelig kunngjøring inkludert anbefalinger for avbøtende tiltak i et forsøk på å beskytte sluttbrukere.

Kraken Security Labs vil gjøre sitt ytterste for å samarbeide med leverandører for å sikre at de forstår de tekniske detaljene og alvorlighetsgraden av en rapportert sikkerhetsfeil. Hvis en produktleverandør ikke er i stand til, eller velger å ikke, rette en bestemt sikkerhetsfeil, kan Kraken Security Labs tilby å samarbeide med den leverandøren for å offentliggjøre feilen med noen effektive omgåelser.

I tilfelle Kraken Security anser det som passende å umiddelbart varsle allmennheten om en sårbarhet på grunn av risikoen eller sikkerheten for sluttbrukeren av et produkt eller en tjeneste, skal Kraken Security Labs samtidig informere leverandøren og allmennheten om sine funn. I kommunikasjon til leverandøren skal Kraken Security Labs liste opp faktorene som ble brukt i beslutningen om å umiddelbart publisere funnene.