上次更新时间:2019年9月5日
Kraken安全实验室定期对常用的应用程序,硬件和产品的安全性进行研究。进行研究的目的是为了教育和保护使用此类服务和产品的最终用户。此策略概述了当我们发现第三方产品和服务中存在安全漏洞时,Kraken安全实验室将如何处理负责任的漏洞披露。
Kraken安全实验室将其产品和/或服务中的安全漏洞通知相应的供应商。首次联系将通过供应商网站上列出的所有适当的联系方式或正式机制进行。如果未发布此联系信息,则Kraken安全实验室将尽最大努力找到适合的媒体。一旦找到正式或适当的联系机制,有关该漏洞的相关信息将会被安全地传输给相关供应商。
如果供应商未能在五个工作日内确认初始通知,则Kraken安全实验室将与供应商进行第二次联系。 如果Kraken安全实验室竭尽了所有上述手段尝试与供应商联系,则Kraken安全实验室可能会在初次尝试联系后的十五个工作日内发布公共咨询以披露调查结果。
如果在上述时间范围内收到供应商的回复,则Kraken安全实验室将要求供应商指定所需的补救时间范围。 Kraken安全实验室将允许供应商有最多九十天使用补丁程序来解决漏洞。在截止日期或更早的时间(如果已由供应商通知),漏洞已被修补,或者供应商没有回复或无法提供合理的声明解释为何未修复该漏洞时,Kraken安全实验室将在截止日期或之前(如果由供应商通知)发布包括缓解建议在内的可公开的建议,以保护最终用户。
Kraken安全实验室将竭尽全力与供应商合作,以确保他们完全了解所报告的安全漏洞的技术细节和严重性。如果产品供应商无法或选择不修补特定的安全漏洞,则Kraken安全实验室可能会建议与该供应商合作,以采取一些有效的解决方法公开披露该漏洞。
如果Kraken 安全认为产品或服务的最终用户有风险或安全性而会立即提醒公众注意漏洞,则Kraken 安全实验室应同时将发现的问题告知卖方和公众 。在与供应商沟通时,Kraken安全实验室应列出所决定立即发布其调查结果时使用的因素有哪些。