Politica de divulgare
Această pagină descrie cum gestionez cercetarea de securitate, atât când raportez probleme altora, cât și când primesc raportări despre proiectele pe care le întrețin. Scopul este simplu: remedierea problemelor reale, tratându-i pe toți cei implicați în mod corect și legal.
Raportarea unei vulnerabilități către mine
Dacă credeți că ați găsit o problemă de securitate într-un proiect pe care îl întrețin sau îl operez, scrieți vă rog la security@mail.mcpsec.dev. Raportările utile includ:
- O descriere a problemei și a impactului său potențial.
- Pași de reproducere sau o dovadă a conceptului (proof of concept).
- Versiunea, URL-ul sau componentul afectat.
Îmi propun să confirm primirea raportărilor în câteva zile lucrătoare. Vă rog să îmi acordați o oportunitate rezonabilă de a investiga și remedia înainte de orice divulgare publică și, pe durata cercetării, să nu accesați, să nu modificați și să nu distrugeți date care nu vă aparțin.
Cum divulg furnizorilor și întreținătorilor
Când găsesc o vulnerabilitate în software-ul altcuiva, urmez divulgarea coordonată:
- Contactez întreținătorul sau furnizorul în mod privat, cu detaliile tehnice și îndrumări de remediere.
- Acord un timp rezonabil pentru dezvoltarea și lansarea unei remedieri, de regulă până la 90 de zile, și sunt flexibil atunci când un întreținător este implicat și lucrează cu bună-credință.
- Public un buletin de securitate odată ce o remediere este disponibilă sau fereastra de divulgare s-a închis, astfel încât alții să poată înțelege problema și să se apere împotriva ei.
Cum notific operatorii de site-uri afectați
Unele vulnerabilități afectează un număr mare de instalări expuse către internet. Când se întâmplă acest lucru, pot notifica operatori individuali că site-ul lor pare să ruleze un component vulnerabil sau ajuns la sfârșitul ciclului de viață. În fiecare caz:
- Mă bazez doar pe informații disponibile public pe care site-ul le oferă deja, cum ar fi un manifest de versiuni.
- Nu exploatez vulnerabilitatea, nu accesez date private și nu încerc să obțin acces neautorizat.
- Notificarea indică o pagină de pe acest site care explică ce trebuie verificat și cum se remediază. Consultați Pentru operatorii de site-uri.
Ce nu voi face niciodată
- Să vă cer bani, parole, credențiale sau acces la sistemele dumneavoastră.
- Să vă presez sau să vă ameninț că vă public datele.
- Să accesez, să modific sau să exfiltrez date care nu îmi aparțin.
Confidențialitate
Iau securitatea și confidențialitatea în serios. Informațiile împărtășite cu mine în cadrul unei raportări sunt folosite exclusiv pentru a investiga și remedia problema și nu sunt vândute sau partajate în scopuri fără legătură.