Zero Gravity: Chris Childerhose spricht über Technik mit der Ootbi VSA | Mach mit >>

Last update: Aug 21st 2024

Objekt Erste Schwachstellenoffen

Einführung 

Object First bemüht sich, unseren Partnern und Kunden zu helfen, das Risiko im Zusammenhang mit Sicherheitsanfälligkeiten in unseren Produkten zu minimieren. In Übereinstimmung mit unserem Engagement für CISA’s Secure by Design-Versprechen sind wir bestrebt, die besten Praktiken der Branche in Bezug auf Sicherheit und den Umgang mit Schwachstellen aufrechtzuerhalten und unseren Kunden rechtzeitige Informationen, Anleitungen und Milderungsoptionen zur Verfügung zu stellen, um Schwachstellen zu beheben.  

Umgang mit Schwachstellenberichten 

Wir schätzen die Einsichten von Branchenpartnern und Sicherheitsforschern und danken für alle Beiträge zu unseren Sicherheitsinitiativen.  Unser Ziel ist es, sicherzustellen, dass Abhilfemaßnahmen und/oder Milderungsstrategien zum Zeitpunkt der Offenlegung von Object First-spezifischen Schwachstellen verfügbar sind und mit Drittanbietern zusammenzuarbeiten, wenn die Behebung deren Zusammenarbeit erfordert. 

Wenn Sie glauben, eine Schwachstelle, ein Datenschutzproblem, exponierte Daten oder andere Sicherheitsprobleme in einem unserer Produkte entdeckt zu haben, möchten wir von Ihnen hören. Diese Richtlinie beschreibt die Schritte zur Meldung von Schwachstellen an uns, was wir erwarten und was Sie von uns erwarten können. 

Gemäß dieser Richtlinie werden alle Informationen, die über neue Schwachstellen offengelegt werden, als vertraulich betrachtet und dürfen nur zwischen Object First und der meldenden Partei geteilt werden, wenn die Informationen nicht bereits öffentlich bekannt sind, bis eine Abhilfe verfügbar ist und die Offenlegungsaktivitäten koordiniert werden. 

Systeme im Geltungsbereich 

Diese Richtlinie gilt für alle von Object First hergestellten, verkauften, besessenen, betriebenen oder gewarteten Produkte. 

Außerhalb des Geltungsbereichs 

  • Vermögenswerte oder andere Geräte, die nicht im Besitz von Parteien sind, die an dieser Richtlinie teilnehmen. 

Schwachstellen, die in Systemen außerhalb des Geltungsbereichs entdeckt oder vermutet werden, sollten dem entsprechenden Anbieter oder der zuständigen Behörde gemeldet werden. 

Unsere Verpflichtungen 

Wenn Sie mit uns zusammenarbeiten, können Sie gemäß dieser Richtlinie von uns erwarten: 

  • Schnell auf Ihren Bericht zu reagieren und mit Ihnen zusammenzuarbeiten, um Ihren Bericht zu verstehen und zu validieren. 
  • Uns zu bemühen, Sie über den Fortschritt einer Schwachstelle während der Bearbeitung informiert zu halten. 
  • Schnell an der Behebung entdeckter Schwachstellen zu arbeiten, innerhalb unserer betrieblichen Einschränkungen. 
  • Safe Harbor für Ihre Schwachstellenforschung im Zusammenhang mit dieser Richtlinie zu gewähren. 

Unsere Erwartungen 

Bei der Teilnahme an unserem Programm zur Offenlegung von Schwachstellen in gutem Glauben bitten wir Sie: 

  • Die Regeln zu befolgen, einschließlich dieser Richtlinie und anderer relevanter Vereinbarungen. Wenn es Unstimmigkeiten zwischen dieser Richtlinie und anderen anwendbaren Bedingungen gibt, haben die Bedingungen dieser Richtlinie Vorrang. 
  • Jede entdeckte Schwachstelle umgehend zu melden. 
  • Zu vermeiden, die Privatsphäre anderer zu verletzen, unsere Systeme zu stören, Daten zu zerstören und/oder die Benutzererfahrung zu beeinträchtigen. 
  • Nur die offiziellen Kanäle zu nutzen, um mit uns über Schwachstelleninformationen zu kommunizieren. 
  • Uns eine angemessene Frist (mindestens 90 Tage ab dem ursprünglichen Bericht) zu gewähren, um das Problem zu lösen, bevor Sie es öffentlich offenlegen. 
  • Tests nur an Systemen im Geltungsbereich durchzuführen und Systeme und Aktivitäten, die außerhalb des Geltungsbereichs liegen, zu respektieren. 
  • Wenn eine Schwachstelle unbeabsichtigten Zugriff auf Daten gewährt, die Menge der Daten, auf die Sie zugreifen, auf das Minimum zu beschränken, das erforderlich ist, um einen Proof of Concept effektiv zu demonstrieren. Außerdem sollten Sie das Testen einstellen und sofort einen Bericht einreichen, wenn Sie während des Testens auf Benutzerdaten stoßen, wie z.B. persönlich identifizierbare Informationen (PII), persönliche Gesundheitsinformationen (PHI), Kreditkartendaten oder vertrauliche Informationen. 
  • Sie sollten nur mit Testkonten interagieren, die Sie besitzen oder für die Sie die ausdrückliche Erlaubnis des Kontoinhabers haben. 
  • Geben Sie keine Details zu Schwachstellen bekannt, bis Object First die Behebung bestätigt. 
  • Speichern Sie keine Daten, die während des Testprozesses entdeckt wurden. 
  • Beteiligen Sie sich nicht an Erpressung. 

Offizielle Kanäle 

Bitte melden Sie Sicherheitsprobleme über mailto:[email protected] und geben Sie alle relevanten Informationen an. Je mehr Details Sie bereitstellen, desto schneller können wir das Problem triagieren und beheben. 

Safe Harbor 

  • Bei der Durchführung von Schwachstellenforschung gemäß dieser Richtlinie betrachten wir diese Forschung als: Autorisiert in Bezug auf alle anwendbaren Anti-Hacking-Gesetze, und wir werden keine rechtlichen Schritte gegen Sie einleiten oder unterstützen für versehentliche, gutgläubige Verstöße gegen diese Richtlinie; 
  • Autorisiert in Bezug auf alle relevanten Anti-Umgehungsgesetze, und wir werden keine Ansprüche gegen Sie wegen Umgehung von Technologie-Kontrollen erheben; 
  • Von Einschränkungen in unseren Nutzungsbedingungen (TOS) und/oder der akzeptablen Nutzungsrichtlinie (AUP) befreit, die die Durchführung von Sicherheitsforschung beeinträchtigen würden, und wir verzichten auf diese Einschränkungen in begrenztem Umfang; und 
  • Rechtskonform, hilfreich für die allgemeine Sicherheit des Internets und in gutem Glauben durchgeführt. 

Sie werden erwartet, alle anwendbaren Gesetze in Ihrer Forschung, Ihrem Testen und Ihrer Berichterstattung einzuhalten. Wenn ein Dritter rechtliche Schritte gegen Sie einleitet und Sie dieser Richtlinie gefolgt sind, werden wir Schritte unternehmen, um bekannt zu machen, dass Ihre Handlungen in Übereinstimmung mit dieser Richtlinie durchgeführt wurden. 

Wenn Sie Bedenken haben oder unsicher sind, ob Ihre Sicherheitsforschung zu jeder Zeit mit dieser Richtlinie übereinstimmt, reichen Sie bitte einen Bericht an [email protected] ein.  

Bitte beachten Sie, dass der Safe Harbor nur für rechtliche Ansprüche gilt, die unter der Kontrolle der Organisation stehen, die an dieser Richtlinie teilnimmt, und dass die Richtlinie unabhängige Dritte nicht bindet.