Zasady dotyczące ujawniania podatności oprogramowania

Wprowadzenie

Zasady dotyczące ujawniania podatności oprogramowania mają zastosowanie do wszystkich podatności, których zgłoszenie do Trust International B.V. rozważasz. Zalecamy dokładne zapoznanie się z tymi zasadami przed zgłoszeniem podatności i postępowanie zgodnie z nimi. Cenimy osoby, które poświęcają swój czas i energię na zgłoszenie podatności dotyczących bezpieczeństwa zgodnie z tymi zasadami. Nie gwarantujemy jednak żadnych nagród pieniężnych za ujawnianie podatności.

Zgłaszanie

Jeśli uważasz, że udało Ci się odnaleźć podatność dotyczącą bezpieczeństwa, prześlij nam zgłoszenie na ten adres e-mail: recall@trust.com

W zgłoszeniu uwzględnij szczegóły dotyczące:

  • Zasobu (adres sieciowy, adres IP, nazwa produktu lub usługi), w którym można zaobserwować podatność.
  • Tytuł podatności
  • Opis podatności (powinien zawierać podsumowanie, pliki pomocnicze i ewentualnie środki zaradcze lub zalecenia).
  • Wpływ (co może zrobić osoba atakująca?).
  • Kroki do odtworzenia. To powinny być nieszkodliwe, niedestrukcyjne dowody koncepcyjne. Pomaga to w szybkiej i dokładnej analizie zgłoszenia. Zmniejsza to również prawdopodobieństwo zgłoszeń duplikatów lub złośliwego wykorzystania niektórych podatności, takich jak przejęcia subdomen.

Czego należy się spodziewać

Po przesłaniu zgłoszenia odpowiemy na nie w ciągu 5 dni roboczych, a analiza zgłoszenia powinna zakończyć się w ciągu 10 dni roboczych. Dołożymy też starań, aby informować Cię o naszych postępach.

Priorytet naprawy ustalany jest na podstawie wpływu, poziomu krytyczności oraz złożoności wykorzystania podatności. Zgłoszenia dotyczące podatności wymagają nieco czasu na potrzeby analizy lub reakcji. Możesz poprosić o bieżący status zgłoszenia, jednak należy unikać robienia tego częściej niż raz na 14 dni. Pozwoli to naszym zespołom skoncentrować się na naprawie.

Powiadomimy Cię, gdy zgłoszona podatność zostanie naprawiona i możemy poprosić Cię o potwierdzenie, że rozwiązanie w odpowiedni sposób obejmuje podatność.

Po naprawieniu podatności zaczniemy przyjmować prośby o ujawnienie przesłanego przez Ciebie zgłoszenia. Chcielibyśmy ujednolicić informacje dla użytkowników dotkniętych problemem, więc prosimy o dalsze koordynowanie z nami publicznego ujawnienia.

Wytyczne

NIE należy:

  • łamać żadnych z obowiązujących praw lub przepisów.
  • uzyskiwać dostępu do zbędnych, nadmiernych lub dużych ilości danych.
  • Modyfikować danych w obrębie systemów lub usług Organizacji.
  • Wykorzystywać narzędzi skanujących o intensywnym charakterze inwazyjnym lub destruktywnym w celu znalezienia podatności.
  • Podejmować prób uniemożliwienia korzystania z usług lub zgłaszać takich prób, np. przeładowania usługi dużą ilością zapytań.
  • Zakłócać działania usług lub systemów Organizacji.

Ujawnienie

Przed ujawnieniem wykonamy poniższe (jeśli stosowne):

  • Analiza i walidacja zgłoszenia o odkryciu.
  • Zakomunikowanie o harmonogramie dla środków zaradczych (jeśli dotyczy) oraz ujawnienia (jeśli dotyczy) (możemy zwrócić się z prośbą o wydłużenie okresu embargo).
  • Zakomunikowanie stronom trzecim w ramach skoordynowanego ujawnienia przy udziale wielu stron.
  • Uzyskanie identyfikatora(-ów) CVE (Powszechnej Listy Podatności) dla celów śledzenia.
  • Zakomunikowanie strategii zastosowania środków zaradczych.
  • Jeśli dotyczy, publikacja ujawnienia na stronie www.trust.com

Umowy w klientem i rozważania prawne

Prawa klientów dotyczące gwarancji, wsparcia i konserwacji produktów lub usług Trust International B.V. są określone wyłącznie w ramach naszego Standardowego regulaminu sprzedaży oraz innych stosownych umów zawartych między Trust International B.V. i klientem.

Żaden zapis w niniejszym dokumencie nie zmienia ani nie rozszerza istniejących praw klienta, nie ustanawia też nowych gwarancji, jednoznacznych lub dorozumianych. Wszelkie informacje przekazane Trust International B.V. dotyczące potencjalnych podatności, w tym szczegóły zawarte w raporcie o podatności, stają się wyłączną własnością Trust International B.V. i mogą być wykorzystywane według naszego uznania, bez obowiązku wynagradzania lub wskazywania autora zgłoszenia.