Informationspolitik
Letzte Aktualisierung: März 27, 2015
Letzte Aktualisierung: März 27, 2015
Dieses Dokument beschreibt die Onapsis-Richtlinie zur Offenlegung von Sicherheitslücken, die als allgemeine Richtlinie für den Prozess der Offenlegung von Sicherheitslücken verwendet wird, die von den Onapsis Research Labs in Form einer Sicherheitsempfehlung entdeckt wurden.
Es liegt im Interesse von Onapsis, zur kontinuierlichen Verbesserung des Sicherheitsniveaus der von seinen Kunden verwendeten Unternehmenssoftware beizutragen. Daher halten wir es für wichtig, ein klares Verfahren festzulegen, das von den beteiligten Parteien befolgt werden sollte, um Risiken zu minimieren und eine ganzheitliche Lösung für Sicherheitsvorbehalte bereitzustellen.
Basierend auf jahrelanger Erfahrung in der Branche sind wir fest davon überzeugt, dass diese Maßnahmen das beste Gleichgewicht für alle Beteiligten bieten: Anbieter, Kunden und die allgemeine Gemeinschaft.
Allgemeines Verfahren
Bei Entdeckung einer neuen Sicherheitslücke wird wie folgt vorgegangen:
1) Onapsis sendet eine E-Mail an den öffentlich zugänglichen Sicherheits-E-Mail-Kontakt des Anbieters, in der er darüber informiert, dass eine neue Schwachstelle entdeckt wurde, und fordert einen PGP/GPG-Schlüssel an, um die detaillierten Informationen verschlüsselt zu senden.
2) Onapsis sendet ein Dokument zur Einreichung einer Sicherheitslücke an den Anbieter, das die technischen Informationen zur Schwachstelle enthält. Dieses Dokument enthält einen Verweis auf diese Richtlinie und ein voreingestelltes Offenlegungsdatum, das normalerweise auf 21 Tage später festgelegt ist.
3) Nach erfolgreicher Bestätigung des Empfangs und der Analyse der Schwachstelle muss der Anbieter Onapsis ein voraussichtliches Veröffentlichungsdatum für die Lösung mitteilen, das nicht länger als 45 Tage liegen sollte. Onapsis wird den Namen der Sicherheitslücke und das voraussichtliche Veröffentlichungsdatum im Abschnitt „Kommende Hinweise“ seiner Website veröffentlichen.
4) Während die Lösung entwickelt wird, steht Onapsis dem Anbieter für weitere Informationen oder spezielle Unterstützung zur Verfügung, um die damit verbundenen Risiken besser zu verstehen und zur Entwicklung einer umfassenden Lösung beizutragen. In diesem Prozess erwartet Onapsis vom Anbieter, dass er regelmäßig über den Status des Falls informiert.
Schließlich wird Onapsis den Sicherheitshinweis mit den Informationen zur Schwachstelle veröffentlichen, wenn eine der folgenden Situationen eintritt: