Политика разглашения

Этот документ содержит политику, согласно которой SecurityLab предоставляет данные об уязвимостях производителям программного обеспечения, своим клиентам, а также размещает эти данные в общем доступе.

SecurityLab ответственно относится к уведомлению производителей программного обеспечения о существующих ошибках в их продуктах и готов сотрудничать с производителями для устранения уязвимостей или разработки временного решения.

  1. Если производитель не публикует данные о контактах, по которым с ним можно связаться по вопросам безопасности, то на общедоступный электронный адрес производителя будет направлено письмо с соответствующим запросом. Согласно политике SecurityLab, информация об уязвимостях не предоставляется через online-формы, но эти формы могут использоваться для запроса необходимых контактов.
  2. Когда контакты производителя, по которым с ним можно связаться по вопросам безопасности, известны, то производителю направляется письмо с информацией об обнаруженной уязвимости.
  3. Если производитель не отвечает на это письмо в течении 5 рабочих дней, то оно отправляется заново. Если производитель не ответит на повторное письмо в течении 5 рабочих дней, то SecurityLab оставляет за собой право опубликовать информацию об уязвимости.
  4. Если производитель ответит на первое или повторное письмо, то:
    • производителю будет отправлено письмо с подробностями об обнаруженной уязвимости, а также предполагаемая дата публикации данных о ней. Дата публикации может быть изменена, если производитель сообщает, что он не успевает выпустить соответствующее обновление.
    • SecurityLab ожидает, что производитель будет сообщать о текущем статусе работы над устранением уязвимости. Если отправка таких сообщений не предусмотрена политикой производителя, то он будет ежемесячно получать запросы о состоянии обновления.
    • Если производитель не отвечает на такой запрос, то запрос отправляется повторно через 5 рабочих дней.
    • Если производитель не отвечает на повторный запрос, SecurityLab оставляет за собой право опубликовать информацию об уязвимости через 5 рабочих дней без дальнейших согласований.
  5. Информация об уязвимости может быть опубликована, если:
    • Достигнута дата публикации, которая была оговорена с производителем или о которой производитель был уведомлен
    • Производитель опубликует обновление или советы по предотвращению эксплуатации уязвимости
    • Третья сторона опубликует данные об указанной уязвимости
    • В сети Интернет появится способ эксплуатации уязвимости
    • Производитель не исправляет существующую уязвимость в течении 6 месяцев с момента первого обращения
    • Производитель ведет себя некорректно при получении уведомления об обнаруженной уязвимости или в ходе переписки, например:
      • Неявно распространяет данные об уязвимости, публикуя обновление без соответствующего уведомления пользователей
      • публикует обновление для одной из версий продукта, в то время как обновлений для других версий не опубликовано
      • не отвечает на запросы
  6. SecurityLab оставляет за собой право передавать информацию об обнаруженных уязвимостях экспертам Positive Technologies Research Team для дальнейшего использования ее в продуктах XSpider, MaxPatrol и др.
  7. SecurityLab оставляет за собой право ускорить публикацию данных об уязвимости в любой момент, уведомив при этом производителя.
  8. Перед отправкой производителю извещения о наличии уязвимости некоторые данные (индивидуальный номер уведомления, название производителя, вектор эксплуатации, рейтинг опасности и дата выхода уведомления) публикуются в соответствующем разделе сайта SecurityLab (см. п.9) в открытом доступе.
  9. Подробности об уязвимостях публикуются в открытых разделах на следующих сайтах:

Версия 1.1