Kraken

Vulnerability Disclosure Policy

Son güncelleme: 5 Eylül 2019

Kraken Security Labs, yaygın olarak kullanılan uygulamaların, donanımların ve ürünlerin güvenliği konusunda düzenli olarak araştırma yapmaktadır. Araştırma, bu tür hizmet ve ürünlerin son kullanıcılarını eğitmek ve korumak için yapılır. Bu politika, Kraken Security Labs'ın üçüncü taraf ürün ve hizmetlerindeki güvenlik açıklarını keşfettiğimizde sorumlu güvenlik açığı açıklamalarını nasıl ele aldığını özetlemektedir.

Kraken Security Labs, uygun satıcıya ürünler ve/veya hizmetlerindeki güvenlik açıklarını bildirecektir. İlk temas girişimi, satıcı web sitesinde listelenen uygun kişiler veya resmi mekanizmalar aracılığıyla olacaktır. Bu tür iletişim bilgileri mevcut değilse Kraken Security Labs uygun bir iletişim ortamı bulmak için en iyi çabayı gösterecektir. Resmi veya uygun bir iletişim mekanizması bulunduğunda, güvenlik açığı hakkındaki ilgili bilgiler güvenli bir şekilde satıcıya iletilecektir.

Satıcı ilk bildirimi beş (5) iş günü içinde kabul etmezse Kraken Security Labs satıcıyla ikinci bir iletişim başlatır. Kraken Security Labs, satıcıyla iletişim kurmak için yukarıdaki tüm araçları tüketirse ilk temas girişiminden on beş (15) iş günü sonra bulgularını açıklayan bir kamu tavsiyesi yayınlayabilir.

Yukarıda belirtilen zaman dilimi içinde bir satıcı yanıtı alınırsa Kraken Security Labs satıcıdan düzeltme için istenen bir zaman dilimi belirtmesini ister. Kraken Security Labs, satıcıya bir yama ile güvenlik açığını gidermek için doksan (90) takvim gününe kadar izin verecektir. Son sürenin sonunda veya daha erken (satıcı tarafından bildirilirse), güvenlik açığı düzeltilmişse veya satıcı yanıt vermiyorsa veya güvenlik açığının neden düzeltilmediğine dair makul bir açıklama sağlayamıyorsa Kraken Security Labs son kullanıcıları korumak amacıyla iyileştirme önerileri de dahil olmak üzere kamuya açık bir tavsiye yayınlayacaktır.

Kraken Security Labs, bildirilen bir güvenlik açığının teknik ayrıntılarını ve ciddiyetini anlamalarını sağlamak üzere satıcılarla çalışmak için her türlü çabayı gösterecektir. Bir ürün satıcısı belirli bir güvenlik açığını düzeltemezse veya düzeltmemeyi seçerse Kraken Security Labs, bazı etkili geçici çözümlerle açığı kamuya açıklamak için bu satıcıyla çalışmayı teklif edebilir.

Kraken Security'nin bir ürün veya hizmetin son kullanıcısına yönelik risk veya güvenlik nedeniyle bir güvenlik açığı hakkında kamuoyunu derhal uyarmanın uygun olduğunu hissetmesi durumunda, Kraken Security Labs aynı anda satıcıya ve genel kamuoyuna bulgularını bildirecektir. Kraken Security Labs, satıcıyla iletişimde, bulgularını hemen yayınlamaya karar vermede kullanılan faktörleri listeleyecektir.