Kraken

Політика розкриття вразливостей

Останнє оновлення: 5 вересня 2019 року

Kraken Security Labs (Лабораторія безпеки Кракен) регулярно випробовує безпеку часто використовуваних програм, апаратних засобів та продуктів. Дослідження проводиться з метою навчання та захисту кінцевих споживачів таких послуг та продуктів. Ця політика окреслює ставлення Kraken Security Labs до відповідальності щодо розкриття вразливостей, коли ми виявляємо такі вразливості безпеки в продуктах та послугах сторонніх виробників.

Kraken Security Labs повідомляє відповідного постачальника про недолік безпеки у межах його товарів та послуг. Перший контакт відбувається через будь-які відповідні формальні механізми, перелічені на веб-сайті постачальника. Якщо такої контактної інформації не розміщено, Kraken Security Labs докладе всіх зусиль, щоб віднайти потрібні контакти. Після того, як буде знайдено офіційні відповідні контактні дані, інформація щодо вразливості буде надійно передана постачальнику.

Якщо постачальник не підтвердить отримання первинного сповіщення протягом п'яти (5) робочих днів, Kraken Security Labs ініціює повторний контакт з продавцем. Якщо вичерпано всі перераховані вище спроби для зв’язку з продавцем, то Kraken Security Labs може видати публічне повідомлення щодо вразливості, яке розкриє результати дослідження через п’ятнадцять (15) робочих днів після спроби першого контакту.

Якщо відповідь постачальника буде отримано у зазначений вище термін, Kraken Security Labs запитає постачальника вказати потрібний період часу для виправлення. Kraken Security Labs надасть постачальнику до дев'яносто (90) календарних днів вирішити вразливість шляхом виправлення. Після закінчення терміну, або раніше (згідно повідомлення постачальника), якщо вразливість виправлено, або якщо постачальник не реагує, або не в змозі надати обґрунтовану заяву, чому вразливість не виправлено, Kraken Security Labs опублікує загальнодоступні рекомендації, включаючи рекомендації щодо пом'якшення наслідків, щоб захистити кінцевих користувачів.

Kraken Security Labs докладе всіх зусиль, щоб співпрацювати з постачальниками, аби переконатися, що вони розуміють технічні деталі та суворість повідомленого недоліку безпеки. Якщо постачальник продукту не в змозі виправити, або вирішить не виправляти певний недолік безпеки, Kraken Security Labs може запропонувати співпрацю такому постачальнику, аби публічно розкрити недолік за допомогою деяких ефективних способів вирішення.

У випадку, якщо служба безпеки Кракена вважатиме за доцільне негайно попередити широку громадськість про вразливість через ризик чи безпеку для кінцевого споживача товару чи послуги, тоді Kraken Security Labs одночасно проінформує постачальника та широку громадськість про такі висновки. У повідомленні постачальника Kraken Security Labs перерахує фактори прийняття рішення негайно опублікувати свої висновки.