Neu
Demo anfragen

Object First Richtlinie zur Offenlegung von Sicherheitslücken

Letzte Aktualisierung:

Einführung 

Object First verpflichtet sich, unseren Partnern und Kunden dabei zu helfen, das mit Sicherheitslücken verbundene Risiko zu minimieren. Als Mitunterzeichner des CISA-Secure by Design-Versprechens setzen wir uns dafür ein, branchenübliche Best Practices für Sicherheit und den Umgang mit Schwachstellen einzuhalten und Kunden zeitnah Informationen, Anleitungen und Abhilfemaßnahmen bereitzustellen, um Schwachstellen zu adressieren.

Umgang mit Schwachstellenmeldungen

Wir begrüßen Meldungen und Offenlegungen von Industriepartnern und Sicherheitsforschern. Unser Ziel ist es, zum Zeitpunkt der Offenlegung Abhilfen oder Minderungsstrategien verfügbar zu haben, bei Bedarf in Zusammenarbeit mit Drittanbietern.

Wenn Sie eine Schwachstelle, ein Datenschutzproblem, offengelegte Daten oder andere Sicherheitsprobleme in einem unserer Produkte entdeckt haben, möchten wir von Ihnen hören.

Im Rahmen dieser Offenlegungsrichtlinie gelten alle offengelegten Informationen über neue Schwachstellen als vertraulich und werden nur zwischen Object First und der meldenden Partei geteilt, sofern die Informationen nicht bereits öffentlich bekannt sind, bis das Sicherheitsteam von Object First bestätigt, dass eine Behebung verfügbar ist, und die koordinierte Offenlegung ausdrücklich autorisiert.

Systeme im Geltungsbereich

Diese Richtlinie gilt für alle Produkte, die von Object First hergestellt, verkauft, besessen, betrieben oder gewartet werden.

Außerhalb des Geltungsbereichs

Produkte oder andere Ausrüstung, die nicht im Eigentum der an dieser Richtlinie teilnehmenden Parteien steht.

In Systemen außerhalb des Geltungsbereichs entdeckte oder vermutete Schwachstellen sollten dem entsprechenden Anbieter oder der zuständigen Stelle gemeldet werden.

Unsere Verpflichtungen

Bei der Zusammenarbeit mit uns können Sie von uns Folgendes erwarten:

  • Wir reagieren zeitnah auf Ihre Meldung und arbeiten mit Ihnen zusammen, um Ihre Meldung zu verstehen und zu validieren.
  • Wir halten Sie über den Fortschritt einer Schwachstelle informiert, während sie bearbeitet wird.
  • Wir arbeiten daran, entdeckte Schwachstellen zeitnah zu beheben, innerhalb unserer betrieblichen Rahmenbedingungen.
  • Wir gewähren „Safe Harbor“ für Ihre Schwachstellenforschung im Zusammenhang mit dieser Richtlinie.

Unsere Erwartungen

Bei der Teilnahme an unserem Programm zur Offenlegung von Schwachstellen in gutem Glauben bitten wir Sie:

  • Halten Sie sich an die Regeln, einschließlich der Einhaltung dieser Richtlinie und anderer relevanter Vereinbarungen. Bei Unstimmigkeiten zwischen dieser Richtlinie und anderen anwendbaren Bedingungen haben die Bedingungen dieser Richtlinie Vorrang.
  • Melden Sie jede von Ihnen entdeckte Schwachstelle unverzüglich.
  • Vermeiden Sie es, die Privatsphäre anderer zu verletzen, unsere Systeme zu stören, Daten zu zerstören und/oder die Nutzererfahrung zu beeinträchtigen.
  • Verwenden Sie ausschließlich offizielle Kanäle, um Schwachstelleninformationen mit [email protected] zu besprechen.
  • Geben Sie uns eine angemessene Zeit (mindestens 90 Tage ab der Erstmeldung), um das Problem zu beheben, bevor Sie es öffentlich offenlegen.
  • Führen Sie Tests nur an Systemen im Geltungsbereich durch und respektieren Sie Systeme und Aktivitäten, die außerhalb des Geltungsbereichs liegen.
  • Wenn eine Schwachstelle unbeabsichtigten Zugriff auf Daten ermöglicht, begrenzen Sie die Menge der von Ihnen abgerufenen Daten auf das Minimum, das erforderlich ist, um einen Proof of Concept effektiv zu demonstrieren. Beenden Sie außerdem die Tests und reichen Sie umgehend eine Meldung ein, wenn Sie während der Tests auf Nutzerdaten stoßen, z. B. personenbezogene Daten (Personally Identifiable Information, PII), persönliche Gesundheitsdaten (Personal Healthcare Information, PHI), Kreditkartendaten oder andere proprietäre Informationen.
  • Sie sollten nur mit Testkonten interagieren, die Ihnen gehören, oder mit ausdrücklicher Genehmigung des Kontoinhabers.
  • Legen Sie keine Details zu Schwachstellen offen, bis dies mit dem Sicherheitsteam von Object First abgestimmt ist.
  • Speichern Sie keine Daten, die während des Testprozesses entdeckt werden.
  • Beteiligen Sie sich nicht an Erpressung.

Eine Sicherheitslücke melden

Wenn Sie glauben, eine Sicherheitslücke in einem Produkt oder Dienst von Object First identifiziert zu haben, empfehlen wir Ihnen, diese zu melden, damit wir das Problem untersuchen und schnell beheben können.

So melden Sie

Senden Sie eine E-Mail an [email protected] mit einer klaren Beschreibung dessen, was Sie gefunden haben, einschließlich aller Details, die uns helfen, effizient zu triagieren. Wenn Sie unsicher sind, ob Ihre Tests mit dieser Richtlinie übereinstimmen, wenden Sie sich an dieselbe Adresse.

Was einzuschließen ist

  • Eine Zusammenfassung des Problems und der potenziellen Auswirkungen
  • Detaillierte Schritte zur Reproduktion der Schwachstelle
  • Produktname, Version und Umgebungsdetails
  • Jegliches Proof-of-Concept-Material
  • Ihre bevorzugten Kontaktinformationen

Bitte vermeiden Sie das Herunterladen, Speichern oder Teilen sensibler Informationen. Beenden Sie die Tests sofort und fügen Sie Ihre Beobachtungen Ihrem Bericht bei.

Was Sie erwarten können

Unser Sicherheitsteam wird Ihre Meldung bestätigen, das Problem prüfen und sich mit den nächsten Schritten bei Ihnen melden. Wir halten Sie informiert, während wir auf eine Lösung hinarbeiten.

Safe Harbor

Object First unterstützt Sicherheitsforschung in gutem Glauben. „Safe Harbor“ bedeutet, dass wir Ihre Forschung als autorisiert behandeln und keine rechtlichen Schritte wegen unbeabsichtigter Verstöße einleiten, die während Ihrer Untersuchung auftreten, sofern Sie diese Richtlinie befolgen und Tests verantwortungsvoll durchführen.

Wenn Sie im Rahmen dieser Richtlinie Schwachstellenforschung betreiben, betrachten wir diese Forschung als:

  • Nach anwendbaren Anti-Hacking-Gesetzen autorisiert, und wir werden keine rechtlichen Schritte gegen Sie wegen unbeabsichtigter, in gutem Glauben erfolgter Verstöße gegen diese Richtlinie einleiten oder unterstützen
  • Nach relevanten Anti-Umgehungsgesetzen autorisiert, und wir werden keine Ansprüche gegen Sie wegen der Umgehung technischer Kontrollen geltend machen
  • Von Beschränkungen in unseren Nutzungsbedingungen (Terms of Service, TOS) und/oder der Richtlinie zur akzeptablen Nutzung (Acceptable Usage Policy, AUP) ausgenommen, die die Durchführung von Sicherheitsforschung beeinträchtigen würden, und wir verzichten in begrenztem Umfang auf diese Beschränkungen
  • Rechtmäßig, der Gesamtsicherheit dienlich und in gutem Glauben durchgeführt.

Es wird erwartet, dass Sie bei Ihrer Forschung, Ihren Tests und Ihrer Meldung alle anwendbaren Gesetze einhalten. Wenn ein Dritter rechtliche Schritte gegen Sie einleitet und Sie diese Richtlinie eingehalten haben, werden wir Schritte unternehmen, um bekannt zu machen, dass Ihre Handlungen in Übereinstimmung mit dieser Richtlinie durchgeführt wurden.

Einbindung Dritter

Es wird erwartet, dass Sie bei Ihrer Forschung, Ihren Tests und Ihrer Meldung alle anwendbaren Gesetze einhalten. Wenn ein Dritter rechtliche Schritte gegen Sie einleitet und Sie diese Richtlinie eingehalten haben, werden wir Schritte unternehmen, um bekannt zu machen, dass Ihre Handlungen in Übereinstimmung mit dieser Richtlinie durchgeführt wurden.

Beachten Sie, dass Safe Harbor nur für rechtliche Ansprüche gilt, die unter der Kontrolle der an dieser Richtlinie teilnehmenden Organisation stehen, und dass die Richtlinie unabhängige Dritte nicht bindet.

Haftungsausschluss für maschinelle Übersetzung

Bitte beachten Sie, dass Object First auf unserer Website maschinelle Übersetzung verwendet. Für vollständige Details lesen Sie den Haftungsausschluss.