HanseSecure Responsible Disclosure Policy


Ich ermittle verantwortungsvoll Schwachstellen

HanseSecure ermittelt Schwachstellen in Hard- und Software Produkten, auch ohne Auftrag eines Kunden. Diese werden verantwortungsvoll in Form eines Blog-Eintrages und einer Eintragung in der Common Vulnerabilities and Exposures veröffentlicht (Responsible Disclosure).

Vor der Veröffentlichung wird der Hersteller schriftlich über diese Schwachstelle informiert.  Sofern der Hersteller eine Lösung bereitgestellt hat oder 45 Tage nachdem dieser vertraulich auf die Schwachstelle hingewiesen wurde (im zweiten Fall auch ohne Lösung oder Workaround), werden detaillierte Informationen zu der Schwachstelle veröffentlicht.

Sofern der Hersteller schriftlich eine begründete Verlängerung dieser Frist anzeigt, kann von diesem Zeitrahmen in Absprache mit dem Hersteller abgewichen werden und ein Zeitpunkt für die koordinierte Veröffentlichung der Schwachstelle abgestimmt werden.

Ziel dieser Policy ist es, die Öffentlichkeit über Sicherheitslücken zu informieren und gleichzeitig eine Behebung der Schwachstellen durch den Hersteller voranzutreiben.

HanseSecure bietet den Herstellern an, vor der Veröffentlichung der Sicherheitslücke das betreffende Produkt zu testen, um die Möglichkeit weiterer Schwachstellen zu minimieren.

Hinweis:
Diese Policy orientiert sich am Coordinated Vulnerability Disclosure Guidance.