Політика розкриття
Ця сторінка описує, як я обробляю дослідження безпеки: як тоді, коли я повідомляю про проблеми іншим, так і тоді, коли отримую повідомлення про проєкти, які супроводжую. Мета проста: усувати реальні проблеми, поводячись з усіма учасниками справедливо і в межах закону.
Повідомити про вразливість мені
Якщо ви вважаєте, що знайшли проблему безпеки в проєкті, який я супроводжую або експлуатую, напишіть, будь ласка, на security@mail.mcpsec.dev. Корисні повідомлення містять:
- Опис проблеми та її потенційних наслідків.
- Кроки для відтворення або проєкт-доказ (proof of concept).
- Уражену версію, URL або компонент.
Я прагну підтвердити отримання повідомлень протягом кількох робочих днів. Будь ласка, дайте мені розумну можливість вивчити проблему і усунути її до будь-якого публічного розкриття, і під час дослідження не отримуйте доступ до даних, які вам не належать, не змінюйте і не знищуйте їх.
Як я розкриваю інформацію постачальникам і супровідникам
Коли я знаходжу вразливість у чужому програмному забезпеченні, я дотримуюся скоординованого розкриття:
- Я зв’язуюся із супровідником або постачальником конфіденційно, передаючи технічні деталі і рекомендації щодо усунення.
- Я надаю розумний час на розробку і випуск виправлення, як правило, до 90 днів, і проявляю гнучкість, коли супровідник залучений до роботи і діє добросовісно.
- Я публікую бюлетень безпеки, щойно виправлення стає доступним або вікно розкриття закривається, щоб інші могли зрозуміти проблему і захиститися від неї.
Як я сповіщаю уражених операторів сайтів
Деякі вразливості зачіпають велику кількість установок, доступних з інтернету. Коли так трапляється, я можу сповістити окремих операторів про те, що на їхньому сайті, судячи з усього, використовується вразливий або знятий з підтримки компонент. У кожному випадку:
- Я спираюся лише на загальнодоступну інформацію, яку сайт і так надає, наприклад на маніфест версій.
- Я не використовую вразливість, не отримую доступ до приватних даних і не намагаюся отримати несанкціонований доступ.
- Сповіщення вказує на сторінку цього сайту, яка пояснює, що слід перевірити і як це виправити. Дивіться Для операторів сайтів.
Чого я ніколи не зроблю
- Не проситиму у вас грошей, паролів, облікових даних або доступу до ваших систем.
- Не тиснутиму на вас і не погрожуватиму публікацією ваших даних.
- Не отримуватиму доступ до даних, які мені не належать, не змінюватиму і не вивантажуватиму їх.
Конфіденційність
Я серйозно ставлюся до безпеки і конфіденційності. Інформацію, передану мені в рамках повідомлення, я використовую виключно для того, щоб вивчити проблему і усунути її. Вона не продається і не передається для сторонніх цілей.