上次更新:2019 年 9 月 5 日
Kraken 安全实验室定期针对常用应用程序、硬件和产品的安全性进行研究。研究旨在教导和保护此类服务和产品的最终用户。本政策概述了在我们发现第三方产品和服务存在安全漏洞时,Kraken 安全实验室将如何以负责任的方式进行漏洞披露。
Kraken 安全实验室将向相关供应商通报其产品和/或服务中存在的安全缺陷。首先尝试的是通过供应商网站上列出的适当联系方式或正式机制进行联系。如果供应商没有发布此类联系信息,那么 Kraken 安全实验室会尽最大努力找到适当的联系媒介。在找到正式或适当的联系机制之后,Kraken 安全实验室将以安全的方式将相关漏洞信息传送给供应商。
如果供应商未能在五 (5) 个工作日内确认初始通知,那么 Kraken 安全实验室会与供应商进行第二次联系。如果 Kraken 安全实验室用尽上述所有方法都无法与供应商取得联系,则 Kraken 安全实验室可能会在尝试首次联系后十五 (15) 个工作日内发布公共警示,披露其发现结果。
如果在上述时间范围内收到供应商回复,那么 Kraken 安全实验室会要求供应商详细说明实施补救措施所需的时间。Kraken 安全实验室允许供应商在九十 (90) 个日历日内利用补丁修复该漏洞。在截止期限结束之时或之前(如果供应商发出通知的话),如果漏洞已得到修补,或者如果供应商没有回应或无法提供合理的声明来解释漏洞未获修补的原因,为了尽全力保护最终用户,Kraken 安全实验室将发布公开咨询(包括缓解建议)。
Kraken 安全实验室将尽一切努力与供应商合作,以确保他们充分了解所报告安全缺陷的技术细节和严重程度。如果产品供应商无法修补或选择不修补特定的安全缺陷,则 Kraken 安全实验室可能会与该供应商合作,公开披露该缺陷以及一些有效的权变措施。
如果 Kraken 安全实验室认为,由于某个产品或服务的最终用户正面临风险或安全问题,因而应立即提醒公众注意该漏洞,则 Kraken 安全实验室应同时向供应商和公众通报其结果。在与供应商沟通时,Kraken 安全实验室应列出导致其决定立即公布研究结果的因素。