Политика раскрытия
Эта страница описывает, как я обращаюсь с исследованиями безопасности, как когда я сообщаю о проблемах другим, так и когда я получаю сообщения о проектах, которые сопровождаю. Цель проста: устранять реальные проблемы, обращаясь со всеми участниками справедливо и в рамках закона.
Сообщить об уязвимости мне
Если вы полагаете, что нашли проблему безопасности в проекте, который я сопровождаю или эксплуатирую, напишите, пожалуйста, на security@mail.mcpsec.dev. Полезные сообщения содержат:
- Описание проблемы и её потенциального воздействия.
- Шаги для воспроизведения или проверочный пример (proof of concept).
- Затронутую версию, URL или компонент.
Я стремлюсь подтвердить получение сообщений в течение нескольких рабочих дней. Пожалуйста, дайте мне разумную возможность изучить проблему и устранить её до любого публичного раскрытия, и во время исследования не получайте доступ к данным, которые вам не принадлежат, не изменяйте и не уничтожайте их.
Как я раскрываю информацию поставщикам и сопровождающим
Когда я нахожу уязвимость в чужом программном обеспечении, я следую скоординированному раскрытию:
- Я связываюсь с сопровождающим или поставщиком конфиденциально, передавая технические детали и рекомендации по устранению.
- Я предоставляю разумное время на разработку и выпуск исправления, как правило, до 90 дней, и проявляю гибкость, когда сопровождающий вовлечён в работу и действует добросовестно.
- Я публикую бюллетень безопасности, как только исправление становится доступно или окно раскрытия закрывается, чтобы другие могли понять проблему и защититься от неё.
Как я уведомляю затронутых операторов сайтов
Некоторые уязвимости затрагивают большое число установок, доступных из интернета. Когда так происходит, я могу уведомить отдельных операторов о том, что на их сайте, по всей видимости, используется уязвимый или снятый с поддержки компонент. В каждом случае:
- Я опираюсь только на общедоступную информацию, которую сайт и так предоставляет, например на манифест версий.
- Я не использую уязвимость, не получаю доступ к частным данным и не пытаюсь получить несанкционированный доступ.
- Уведомление указывает на страницу этого сайта, объясняющую, что следует проверить и как это исправить. Смотрите Для операторов сайтов.
Чего я никогда не сделаю
- Не буду просить у вас денег, паролей, учётных данных или доступа к вашим системам.
- Не буду давить на вас или угрожать публикацией ваших данных.
- Не буду получать доступ к данным, которые мне не принадлежат, изменять или похищать их.
Конфиденциальность
Я серьёзно отношусь к безопасности и конфиденциальности. Информацию, переданную мне в рамках сообщения, я использую исключительно для того, чтобы изучить проблему и устранить её. Она не продаётся и не передаётся для посторонних целей.