Политика разглашения
Этот документ содержит политику, согласно которой SecurityLab предоставляет данные об уязвимостях производителям программного обеспечения, своим клиентам, а также размещает эти данные в общем доступе.
SecurityLab ответственно относится к уведомлению производителей программного обеспечения о существующих ошибках в их продуктах и готов сотрудничать с производителями для устранения уязвимостей или разработки временного решения.
- Если производитель не публикует данные о контактах, по которым с ним можно связаться по вопросам безопасности, то на общедоступный электронный адрес производителя будет направлено письмо с соответствующим запросом. Согласно политике SecurityLab, информация об уязвимостях не предоставляется через online-формы, но эти формы могут использоваться для запроса необходимых контактов.
- Когда контакты производителя, по которым с ним можно связаться по вопросам безопасности, известны, то производителю направляется письмо с информацией об обнаруженной уязвимости.
- Если производитель не отвечает на это письмо в течении 5 рабочих дней, то оно отправляется заново. Если производитель не ответит на повторное письмо в течении 5 рабочих дней, то SecurityLab оставляет за собой право опубликовать информацию об уязвимости.
- Если производитель ответит на первое или повторное письмо, то:
- производителю будет отправлено письмо с подробностями об обнаруженной уязвимости, а также предполагаемая дата публикации данных о ней. Дата публикации может быть изменена, если производитель сообщает, что он не успевает выпустить соответствующее обновление.
- SecurityLab ожидает, что производитель будет сообщать о текущем статусе работы над устранением уязвимости. Если отправка таких сообщений не предусмотрена политикой производителя, то он будет ежемесячно получать запросы о состоянии обновления.
- Если производитель не отвечает на такой запрос, то запрос отправляется повторно через 5 рабочих дней.
- Если производитель не отвечает на повторный запрос, SecurityLab оставляет за собой право опубликовать информацию об уязвимости через 5 рабочих дней без дальнейших согласований.
- Информация об уязвимости может быть опубликована, если:
- Достигнута дата публикации, которая была оговорена с производителем или о которой производитель был уведомлен
- Производитель опубликует обновление или советы по предотвращению эксплуатации уязвимости
- Третья сторона опубликует данные об указанной уязвимости
- В сети Интернет появится способ эксплуатации уязвимости
- Производитель не исправляет существующую уязвимость в течении 6 месяцев с момента первого обращения
- Производитель ведет себя некорректно при получении уведомления об обнаруженной уязвимости или в ходе переписки, например:
- Неявно распространяет данные об уязвимости, публикуя обновление без соответствующего уведомления пользователей
- публикует обновление для одной из версий продукта, в то время как обновлений для других версий не опубликовано
- не отвечает на запросы
- SecurityLab оставляет за собой право передавать информацию об обнаруженных уязвимостях экспертам Positive Technologies Research Team для дальнейшего использования ее в продуктах XSpider, MaxPatrol и др.
- SecurityLab оставляет за собой право ускорить публикацию данных об уязвимости в любой момент, уведомив при этом производителя.
- Перед отправкой производителю извещения о наличии уязвимости некоторые данные (индивидуальный номер уведомления, название производителя, вектор эксплуатации, рейтинг опасности и дата выхода уведомления) публикуются в соответствующем разделе сайта SecurityLab (см. п.9) в открытом доступе.
- Подробности об уязвимостях публикуются в открытых разделах на следующих сайтах:
Версия 1.1