นโยบายการเปิดเผยช่องโหว่

อัปเดตล่าสุด: 5 กันยายน 2019

Kraken Security Labs ดำเนินการวิจัยด้านความปลอดภัยของแอปพลิเคชัน, ฮาร์ดแวร์ และผลิตภัณฑ์ที่ใช้กันทั่วไปเป็นประจำ การวิจัยนี้มีวัตถุประสงค์เพื่อให้ความรู้และปกป้องผู้ใช้ปลายทางของบริการและผลิตภัณฑ์ดังกล่าว นโยบายนี้ระบุถึงวิธีการที่ Kraken Security Labs จัดการกับการเปิดเผยช่องโหว่อย่างรับผิดชอบเมื่อเราค้นพบช่องโหว่ด้านความปลอดภัยในผลิตภัณฑ์และบริการของบุคคลที่สาม

Kraken Security Labs จะแจ้งผู้จำหน่ายที่เหมาะสมเกี่ยวกับข้อบกพร่องด้านความปลอดภัยภายในผลิตภัณฑ์และ/หรือบริการของตน การติดต่อครั้งแรกจะดำเนินการผ่านช่องทางการติดต่อที่เหมาะสมหรือกลไกที่เป็นทางการที่ระบุไว้บนเว็บไซต์ของผู้จำหน่าย หากไม่มีข้อมูลการติดต่อดังกล่าว Kraken Security Labs จะพยายามอย่างเต็มที่เพื่อค้นหาช่องทางการติดต่อที่เหมาะสม เมื่อพบช่องทางการติดต่อที่เป็นทางการหรือเหมาะสมแล้ว ข้อมูลที่เกี่ยวข้องเกี่ยวกับช่องโหว่จะถูกส่งไปยังผู้จำหน่ายอย่างปลอดภัย

หากผู้จำหน่ายไม่ตอบรับการแจ้งเตือนครั้งแรกภายในห้า (5) วันทำการ Kraken Security Labs จะเริ่มการติดต่อครั้งที่สองกับผู้จำหน่าย หาก Kraken Security Labs ใช้ทุกวิถีทางข้างต้นเพื่อติดต่อผู้จำหน่ายแล้ว Kraken Security Labs อาจออกประกาศเตือนสาธารณะเพื่อเปิดเผยผลการค้นพบภายในสิบห้า (15) วันทำการหลังจากการพยายามติดต่อครั้งแรก

หากได้รับการตอบกลับจากผู้จำหน่ายภายในกรอบเวลาที่ระบุไว้ข้างต้น Kraken Security Labs ขอให้ผู้จำหน่ายระบุกรอบเวลาที่ต้องการสำหรับการแก้ไข Kraken Security Labs จะอนุญาตให้ผู้จำหน่ายมีเวลาสูงสุดเก้าสิบ (90) วันตามปฏิทินเพื่อแก้ไขช่องโหว่ด้วยแพตช์ เมื่อสิ้นสุดกำหนดเวลาหรือเร็วกว่านั้น (หากผู้จำหน่ายแจ้ง) หากช่องโหว่ได้รับการแก้ไขแล้ว หรือหากผู้จำหน่ายไม่ตอบสนองหรือไม่สามารถให้คำชี้แจงที่สมเหตุสมผลว่าเหตุใดช่องโหว่จึงไม่ได้รับการแก้ไข Kraken Security Labs จะเผยแพร่ประกาศเตือนสาธารณะซึ่งรวมถึงคำแนะนำในการบรรเทาผลกระทบเพื่อปกป้องผู้ใช้ปลายทาง

Kraken Security Labs จะพยายามอย่างเต็มที่ที่จะทำงานร่วมกับผู้จำหน่ายเพื่อให้แน่ใจว่าพวกเขาเข้าใจรายละเอียดทางเทคนิคและความรุนแรงของข้อบกพร่องด้านความปลอดภัยที่รายงาน หากผู้จำหน่ายผลิตภัณฑ์ไม่สามารถหรือไม่เลือกที่จะแก้ไขข้อบกพร่องด้านความปลอดภัยเฉพาะ Kraken Security Labs อาจเสนอที่จะทำงานร่วมกับผู้จำหน่ายรายนั้นเพื่อเปิดเผยข้อบกพร่องต่อสาธารณะพร้อมด้วยวิธีแก้ไขปัญหาที่มีประสิทธิภาพบางอย่าง

ในกรณีที่ Kraken Security เห็นว่าเหมาะสมที่จะแจ้งเตือนสาธารณชนทันทีเกี่ยวกับช่องโหว่เนื่องจากความเสี่ยงหรือความปลอดภัยต่อผู้ใช้ปลายทางของผลิตภัณฑ์หรือบริการ Kraken Security Labs จะแจ้งผู้จำหน่ายและสาธารณชนพร้อมกันเกี่ยวกับผลการค้นพบ ในการสื่อสารกับผู้จำหน่าย Kraken Security Labs จะระบุปัจจัยที่ใช้ในการตัดสินใจเผยแพร่ผลการค้นพบทันที