Політика розкриття вразливостей

Останнє оновлення: 5 вересня 2019 року

Kraken Security Labs регулярно проводить дослідження безпеки популярних застосунків, обладнання й продуктів. Дослідження проводяться з метою навчання та захисту кінцевих користувачів таких сервісів і продуктів. У цій політиці описано відповідальний підхід Kraken Security Labs до розкриття інформації про вразливості, коли ми виявляємо проблеми з безпекою у сторонніх продуктах і сервісах.

Kraken Security Labs має повідомити відповідного постачальника про вразливість у його продукті(-ах) та/або сервісі(-ах). Перша спроба зв’язатися з постачальником здійснюється за допомогою контактних даних або офіційних механізмів, наведених на його вебсайті. Якщо такої контактної інформації там немає, Kraken Security Labs докладе максимум зусиль, щоб знайти належний канал зв’язку. Щойно офіційний або належний механізм контакту буде знайдено, відповідна інформація про вразливість буде в безпечний спосіб передана постачальнику.

Якщо постачальник не підтвердить отримання початкового повідомлення протягом 5 (п’яти) робочих днів, Kraken Security Labs спробує зв’язатися з постачальником ще раз. Якщо Kraken Security Labs вичерпає всі зазначені вище засоби для зв’язку з постачальником, то Kraken Security Labs може оприлюднити публічну рекомендацію зі своїми знахідками через 15 (п’ятнадцять) робочих днів після початкової спроби контакту.

Якщо протягом вищевказаного часу постачальник надасть відповідь, Kraken Security Labs попросить постачальника вказати орієнтований період, потрібний для виправлення ситуації. Kraken Security Labs надає постачальнику до 90 (дев’яноста) календарних днів для усунення вразливості шляхом виправлення. Якщо вразливість була виправлена протягом цього часу або раніше (відповідно до повідомлення постачальника) або якщо постачальник не відповідає чи не може обґрунтовано пояснити, чому саме вразливість не було усунуто, Kraken Security Labs опублікує загальнодоступну інформацію з рекомендаціями щодо усунення вразливості з метою захисту кінцевих користувачів.

Kraken Security Labs докладе всіх зусиль для надання постачальнику всіх технічних деталей і відомостей про серйозність вразливості, яку було виявлено. Якщо постачальник продукту не може усунути або вирішує не виправляти певний недолік у системі безпеки, Kraken Security Labs може запропонувати оприлюднити інформацію про цей недолік (включно з ефективними обхідними рішеннями) разом із постачальником.

Якщо команда Kraken Security вважає за доцільне негайно попередити широку громадськість про вразливість через ризик або небезпеку для кінцевого користувача продукту або сервісу, то Kraken Security Labs повідомить постачальника й широку громадськість про свої знахідки одночасно. У повідомленні постачальнику Kraken Security Labs наводить фактори, на основі яких було прийнято рішення про негайну публікацію висновків.