Richtlinie zur Offenlegung von Softwareschwachstellen

Einleitung

Diese Richtlinie zur Offenlegung von Sicherheitslücken gilt für alle Schwachstellen, die Sie Trust International B.V.
melden möchten. Wir empfehlen Ihnen, diese Richtlinie vollständig zu lesen, bevor Sie eine Schwachstelle melden, und stets im Einklang mit den darin enthaltenen Vorgaben zu handeln. Wir schätzen alle, die sich die Zeit nehmen und Mühe machen, Schwachstellen gemäß dieser Richtlinie zu melden. Wir bieten jedoch keine Garantie für eine finanzielle Belohnung für die Meldung von Schwachstellen.

Meldung

Wenn Sie glauben, eine Sicherheitslücke gefunden zu haben, senden Sie uns bitte Ihren Bericht an folgende E-Mail-Adresse: recall@trust.com

Bitte geben Sie in Ihrem Bericht folgende Informationen an:

  • Objekt (Webadresse, IP-Adresse, Produkt- oder Dienstleistungsname), bei dem die Schwachstelle festgestellt werden kann
  • Titel der Schwachstelle
  • Beschreibung der Schwachstelle (diese sollte eine Zusammenfassung, unterstützende Dateien und mögliche Abhilfemaßnahmen oder Empfehlungen enthalten)
  • Auswirkungen (was könnte ein Angreifer tun?)
  • Schritte zur Reproduktion. Diese sollten in Form eines gutartigen, nicht destruktiven Proof of Concept dargestellt werden. Diese Angaben helfen uns, Ihren Bericht schnell und präzise auszuwerten. Gleichzeitig verringert dies die Wahrscheinlichkeit von doppelten Meldungen oder einem böswilligen Ausnutzen bestimmter Schwachstellen, etwa bei der Übernahme von Subdomains.

Das können Sie erwarten

Nachdem Sie Ihren Bericht eingereicht haben, werden wir innerhalb von 5 Werktagen darauf antworten und versuchen, Ihren Bericht innerhalb von 10 Werktagen zu prüfen. Zudem halten wir Sie über den Fortschritt auf dem Laufenden.

Die Priorität der Behebung richtet sich nach Faktoren wie Auswirkung, Schweregrad und der Komplexität der Schwachstelle. Bitte beachten Sie, dass die Prüfung oder Bearbeitung von Schwachstellenberichten einige Zeit in Anspruch nehmen kann. Sie können sich gerne nach dem Status erkundigen, jedoch nicht häufiger als alle 14 Tage, damit unser Team sich auf die Behebung konzentrieren kann.

Wir benachrichtigen Sie, sobald die gemeldete Schwachstelle behoben wurde. Gegebenenfalls bitten wir Sie, zu bestätigen, dass die Lösung die Schwachstelle angemessen abdeckt.

Sobald Ihre Schwachstelle behoben ist, begrüßen wir Anfragen zur Veröffentlichung Ihres Berichts. Um betroffenen Nutzern einheitliche Hinweise bereitzustellen, bitten wir Sie, die Veröffentlichung weiterhin mit uns abzustimmen.

Hinweise

Bitte unterlassen Sie Folgendes:

  • Verletzen Sie keine geltenden Gesetze oder Vorschriften.
  • Greifen Sie nicht auf unnötige, übermäßige oder umfangreiche Daten zu.
  • Verändern Sie keine Daten in den Systemen oder Diensten des Unternehmens.
  • Verwenden Sie keine hochgradig invasiven oder zerstörerischen Scan-Tools zur Schwachstellensuche.
  • Versuchen oder melden Sie keine Formen von Denial-of-Service-Angriffen, z. B. das Überfluten eines Dienstes mit einer hohen Anzahl von Anfragen.
  • Stören Sie keine Systeme oder Dienste des Unternehmens.

Offenlegung

Vor der Offenlegung werden wir (sofern zutreffend) folgende Schritte durchführen:

  • Prüfung und Validierung des gemeldeten Fundberichts
  • Kommunikation mit Ihnen bezüglich des Zeitplans für die Behebung (falls zutreffend) und der Offenlegung (falls zutreffend) (wir können eine Verlängerung des Embargozeitraums anfragen)
  • Kommunikation mit anderen Parteien im Rahmen einer koordinierten Offenlegung durch mehrere Parteien
  • Beantragung von Common Vulnerability Enumeration (CVE)-Kennungen zur Nachverfolgung
  • Kommunikation mit Ihnen über die Strategie zur Behebung der Schwachstelle
  • Gegebenenfalls Veröffentlichung der Offenlegung auf www.trust.com

Kundenvereinbarungen und rechtliche Aspekte

Die Rechte der Kunden in Bezug auf Garantien, Support und Wartung für Produkte oder Dienstleistungen von Trust International B.V. werden ausschließlich durch unsere Allgemeinen Verkaufsbedingungen sowie durch etwaige weitere anwendbare Vereinbarungen zwischen Trust International B.V. und dem einzelnen Kunden geregelt.

Nichts in diesem Dokument ändert oder erweitert bestehende Kundenrechte oder begründet neue Garantien, weder ausdrücklich noch stillschweigend. Alle an Trust International B.V. übermittelten Informationen zu potenziellen Schwachstellen, einschließlich der Details in einem Schwachstellenbericht, gehen in das alleinige Eigentum von Trust International B.V. über und können nach unserem Ermessen verwendet werden, ohne dass eine Verpflichtung zur Vergütung oder Namensnennung gegenüber der meldenden Partei besteht.