Последнее обновление: 5 сентября 2019
Kraken Security Labs (Лаборатория безопасности Кракен) регулярно испытывает безопасность часто используемых программ, аппаратных средств и продуктов. Исследование проводится с целью обучения и защиты конечных потребителей таких услуг и продуктов. Эта политика определяет отношение Kraken Security Labs к ответственности по раскрытию уязвимостей, когда мы обнаруживаем такие уязвимости безопасности в продуктах и услугах сторонних производителей.
Kraken Security Labs сообщает соответствующему поставщику о недостатке безопасности в пределах его товаров и услуг. Первый контакт происходит посредством любых соответствующих формальных механизмов, перечисленных на сайте поставщика. Если такая контактная информация не размещена, Kraken Security Labs приложит все усилия, чтобы найти нужные контакты. После того, как будет найдено официальные соответствующие контактные данные, информация о уязвимости будет надежно передана поставщику.
Если поставщик не подтвердит получение первичного извещения в течение пяти (5) рабочих дней, Kraken Security Labs инициирует повторный контакт с продавцом. Если исчерпаны все вышеперечисленные попытки для связи с продавцом, то Kraken Security Labs может выдать публичное сообщение об уязвимости, которое раскроет результаты исследования через пятнадцать (15) дней после попытки первого контакта.
Если ответ поставщика будет получен в указанный выше срок, Kraken Security Labs запросит поставщика указать необходимый период времени для исправления. Kraken Security Labs предоставит поставщику до девяносто (90) дней для решения уязвимости путем исправления. По истечении срока, или раньше (согласно сообщению поставщика), если уязвимость исправлена, или если поставщик не реагирует, или не в состоянии предоставить обоснованное заявление, почему уязвимость НЕ исправлена, Kraken Security Labs опубликует общедоступные рекомендации, включая рекомендации по смягчению последствий, чтобы защитить конечных пользователей.
Kraken Security Labs приложит все усилия, чтобы сотрудничать с поставщиками, чтобы убедиться, что они понимают технические детали и строгость сообщенного недостатка безопасности. Если поставщик продукта не в состоянии исправить, или решит не исправлять определенный недостаток безопасности, Kraken Security Labs может предложить сотрудничество таком поставщику, чтобы публично раскрыть недостаток с помощью некоторых эффективных способов решения.
В случае, если служба безопасности Кракен сосчитает целесообразным немедленно предупредить широкую общественность об уязвимости из-за риска или безопасность для конечного потребителя товара или услуги, тогда Kraken Security Labs одновременно проинформирует поставщика и широкую общественность о таких выводах. В сообщении поставщика Kraken Security Labs перечислит факторы принятия решения немедленно опубликовать свои выводы.