Richtlinien für die Meldung von Sicherheitslücken

Vielen Dank für Ihre Zusammenarbeit mit Onapsis, die dazu beiträgt, dass wir zeitnah auf Sicherheitsprobleme in unseren Produkten reagieren können. Wir legen großen Wert darauf, gemeinsam mit Forschern ein Problem vollständig zu verstehen und eine Lösung dafür zu finden.

Um sicherzustellen, dass wir über die erforderlichen Informationen verfügen, um ein gemeldetes Problem ordnungsgemäß zu bewerten, bittet Onapsis Sie, in jedem Fehlerbericht die folgenden Angaben zu machen:

  • Das betroffene Produkt oder die betroffene Ressource (z. B. OP, CP, Onapsis-Website) sowie die Softwareversion und die platform verwendete platform (z. B. Windows 7, Debian Linux, Ubuntu Linux, Mac).
  • Eine Beschreibung des Problems, in der die Sicherheitslücke erläutert wird, einschließlich der Auswirkungen auf die Benutzer oder das System. Dabei sollte klar dargelegt werden, wie das Problem Berechtigungsgrenzen überschreitet. Bitte geben Sie auch alle Voraussetzungen und Schritte an, die erforderlich sind, um den betroffenen Zustand des Systems herbeizuführen.
  • Gibt es Einschränkungen oder Voraussetzungen, die für die Ausnutzung der Schwachstelle erforderlich sind? Geben Sie an, ob es vom Standard abweichende Systemeinstellungen, benutzerdefinierte Konfigurationen, erforderliche Benutzeraktionen oder sonstige Faktoren gibt, die den Angriff einschränken würden.
  • Ein Proof-of-Concept oder ein funktionsfähiger Exploit, der das Problem veranschaulicht. Falls kein Proof-of-Concept verfügbar ist, fügen Sie bitte alle relevanten Protokolle bei, die bei Ihren Tests erstellt wurden.
  • Bemühen Sie sich nach bestem Wissen und Gewissen, Datenschutzverletzungen, die Vernichtung von Daten und Störungen unserer Produkte zu vermeiden.

Nicht im Geltungsbereich

Die folgende Liste von Sicherheitsproblemen wird nicht als gültiger Bericht akzeptiert.

Sicherheitslücken in älteren Versionen von Anwendungen, Paketen oder Bibliotheken.

Probleme im Zusammenhang mit Sicherheits-Headern.

Probleme bei der Konfiguration von Transport Layer Security.

Brute-Force-Angriffe.

Angriffe, die Social Engineering erfordern.

Während des Bewertungsprozesses wird Onapsis Sie über den aktuellen Stand bei der Lösung des Problems auf dem Laufenden halten.

Wenn Sie Kunde oder Partner von Onapsis sind, nutzen Sie bitte das Kundenportal, um eine Serviceanfrage für jede Sicherheitslücke einzureichen, die Sie Ihrer Meinung nach in Onapsis-Produkten entdeckt haben. Wenn Sie kein Kunde oder Partner sind, senden Sie bitte eine E-Mail mit Ihrer Entdeckung an [email protected]. Wir empfehlen Ihnen, bei E-Mails an Onapsis Security eine E-Mail-Verschlüsselung mit unserem Verschlüsselungsschlüssel zu verwenden.