漏洞披露政策

上次更新日期：2019年9月5日

Kraken Security Labs 定期對常用應用程式、硬件和產品的安全性進行研究。該研究旨在教育和保護此類服務和產品的終端用戶。本政策概述了 Kraken Security Labs 在發現第三方產品和服務中的安全漏洞時，如何處理負責任的漏洞披露。

Kraken Security Labs 將通知相關供應商其產品及/或服務中的安全漏洞。首次聯絡將透過供應商網站上列出的任何適當聯絡方式或正式機制進行。如果未發布此類聯絡資訊，Kraken Security Labs 將盡最大努力尋找適當的聯絡媒介。一旦找到正式或適當的聯絡機制，有關漏洞的相關資訊將安全地傳輸給供應商。

如果供應商未能在五 (5) 個工作天內確認首次通知，Kraken Security Labs 將再次聯絡供應商。如果 Kraken Security Labs 用盡上述所有方式仍無法聯絡到供應商，則 Kraken Security Labs 可能會在首次聯絡嘗試後的十五 (15) 個工作天發布公開諮詢，披露其發現。

如果在上述時間範圍內收到供應商的回應，Kraken Security Labs 要求供應商指定修復的預期時間範圍。Kraken Security Labs 將允許供應商最多九十 (90) 個日曆天來透過修補程式解決該漏洞。在截止日期結束時或更早（如果供應商通知），如果漏洞已修補，或者供應商沒有回應或無法提供關於漏洞未修復的合理說明，Kraken Security Labs 將發布一份公開可用的諮詢，其中包含緩解建議，以保護終端用戶。

Kraken Security Labs 將盡一切努力與供應商合作，以確保他們了解所報告安全漏洞的技術細節和嚴重性。如果產品供應商無法或選擇不修補特定安全漏洞，Kraken Security Labs 可能會提議與該供應商合作，公開披露該漏洞並提供一些有效的解決方案。

如果 Kraken Security 認為由於產品或服務的終端用戶面臨風險或安全問題，有必要立即向公眾發出漏洞警報，則 Kraken Security Labs 應同時告知供應商和公眾其發現。在與供應商的溝通中，Kraken Security Labs 應列出決定立即發布其發現所使用的因素。