Vulnerability Disclosure Policy

MOGWAI LABS findet mitunter kritische Sicherheitslücken oder Schwachstellen in Code und Systemen Dritter, einschließlich Open-Source-Software. In diesem Fall ist es unsere Priorität, diese Probleme umgehend zu beheben und gleichzeitig sicherzustellen, dass die betroffenen Benutzer informiert werden, so dass sie sich durch die Installation eines Patches oder die Aktualisierung ihrer Systeme schützen können.

Das klingt einfach und leicht nachvollziehbar. Die Offenlegung von Schwachstellen ist jedoch alles andere als einfach. Dies ist der Grundlage unserer Vorgehensweise:

  1. Nicht alle Schwachstellen sind gleich kritisch. Ein schwerwiegendes Sicherheitsproblem erfordert viel mehr Sorgfalt, bevor es veröffentlicht wird. Die nachstehende Richtlinie erläutert, wie wir mit der Offenlegung von Sicherheitslücken umgehen.
  2. Die Behebung einer Schwachstelle erfordert eine enge Zusammenarbeit zwischen den Mitarbeitern von MOGWAI LABS, die das Problem melden, und der Partei, die für die Behebung des Problems verantwortlich ist. Mit dieser Richtlinie möchten wir klar und verständlich darlegen, was wir erwarten, wenn wir Probleme melden, die wir in Code und Systemen Dritter finden. Wir erklären auch, wann MOGWAI LABS diese Schwachstellen veröffentlichen wird.

Vulnerability Disclosure Policy

Kurz gefasst: MOGWAI LABS setzt sich mit der verantwortlichen Partei in Verbindung und informiert sie so schnell wie möglich über die von uns gefundene Schwachstelle. Wir erwarten, dass die dritte Partei innerhalb von 21 Tagen antwortet und uns mitteilt, wie das Problem zum Schutz der betroffenen Personen angegangen wird. Wenn wir innerhalb von 21 Tagen nach der Meldung keine Rückmeldung erhalten, behält sich MOGWAI LABS das Recht vor, die Sicherheitslücke zu veröffentlichen. Falls innerhalb von 90 Tagen nach der Meldung keine Behebung oder Aktualisierung erfolgt, die erkennen lässt, dass das Problem in angemessener Weise angegangen wird, wird MOGWAI LABS die Sicherheitslücke veröffentlichen.

Das bedeutet, dass wir die Schritte zur Offenlegung von Sicherheitslücken und die vorgeschlagenen Fristen einhalten werden, soweit dies möglich ist. Wir können uns aber Szenarien vorstellen, in denen es zu Abweichungen kommen kann. Sollte MOGWAI LABS zu dem Schluss kommen, dass die frühere Offenlegung einer Schwachstelle im Code oder in den Systemen Dritter der Öffentlichkeit oder den potenziell betroffenen Personen nützt, behalten wir uns das Recht vor, dies zu tun.

Hier sind einige Details:

Reporting

  • MOGWAI LABS bemüht sich, den richtigen Ansprechpartner für die Meldung einer Schwachstelle zu finden, z. B. einen Open-Source-Projektbetreuer. Wir werden angemessene Schritte unternehmen, um den richtigen Weg zu finden, um sicher mit diesen Personen in Kontakt zu treten. Beispielsweise versuchen wir ds Melden der Schwachstelle per per E-Mail (security@ oder secure@), das Erstellen von Issues ohne vertrauliche Details in Bug-Trackern oder das Einreichen von Support-Tickets.
  • Der Kontakt sollte die Meldung baldmöglichst bestätigen..
  • Der Kontakt sollte bestätigen, ob wir genügend Informationen zum Verständnis des gemeldeten Problems geliefert haben.
  • Der von uns erstellte Bericht enthält eine Beschreibung der gefundenen Schwachstelle, eine Erklärung der MOGWAI LAB’s Vulnerability Disclosure Policy und die erwarteten nächsten Schritte.
  • Bei Bedarf stellt MOGWAI LABS der Kontaktperson zusätzliche Informationen zur Verfügung, die dabei helfen, das Problem zu reproduzieren.
  • Falls wir innerhalb von 21 Tagen keine Antwort von der Kontaktperson erhalten, die die Meldung einer Sicherheitslücke bestätigt, gehen wir davon aus, dass keine Maßnahmen ergriffen werden. Wir behalten uns in diesem Fall das Recht vor, die Schwachstelle zu veröffentlichen.
  • Der Versand des Schwachstellen-Berichts stellt für MOGWAI LABS den Beginn des Disclosure Prozesses dar.
  • MOGWAI LABS lehnt es generell ab, Geheimhaltungsvereinbarungen zu unterzeichnen, die sich auf ein von uns gemeldetes individuelles Sicherheitsproblem beziehen.

Behebung und Zeitplan

  • Wann immer möglich, wird MOGWAI LABS mit dem zuständigen Ansprechpartner zusammenarbeiten, um die Ursache der Schwachstelle zu identifizieren und mögliche Lösungen zu finden. Wir werden relevante technische Details weitergeben, um die Behebung zu beschleunigen.
  • Die Kontaktperson sollte so transparent wie möglich über die Fortschritte bei der Behebung des Problems sein. Es wird erwartet, dass angemessene Maßnahmen ergriffen werden, um das gemeldete Problem innerhalb von 90 Tagen zu beheben.
  • MOGWAI LABS wird die Offenlegung mit der Verfügbarkeit oder dem Rollout von Sicherheitsupdates koordinieren.
  • Wenn nach 90 Tagen keine Behebung der Schwachstelle in Aussicht ist, werden wir die Kontaktperson von unserer Absicht in Kenntnis setzen, das gemeldete Schwachstelle zu veröffentlichen.
  • Wenn es keine begündeten Umstände gibt, werden wir die von uns gefundene Schwachstelle offenlegen, sobald wir dazu in der Lage sind.

Veröffentlichung

  • Je nach Art der Schachwstelle existieren mehrere Möglichkeiten der Veröffentlichung: 1) wir geben die Schwachstelle allgemein bekannt, 2) wir geben sie direkt an die Personen weiter, die das Produkt nutzen, oder 3) wir geben zunächst eine allgemeine Schwachstellenmeldung heraus, gefolgt von einer detaillierten Beschreibung. MOGWAI LABS wird gemeinsam mit dem Kontakt festlegen, welche Vorgehensweise im Einzelfall am besten geeignet ist.
  • Wir möchten mit der Veröffentlichung der Allgemeinheit helfen. Daher kann die Beschreibung auch mögliche andere Abhilfen, Methoden zur Validierung der eingespielten Updates oder weiteres Material enthalten, welches bei der Behebung der Schwachstelle unterstützt.
  • Die Veröffentlichung kann einen Zeitverlauf enthalten, in dem wir die Kommunikation zwischen MOGWAI LABS und der dritten Partei dokumentieren. Falls sinnvoll, kann unsere Veröffentlichung Empfehlungen zur Minimierung des Risikos enthalten.
  • Falls verfügbar werden wir eine CVE angeben oder wenn nötig, ein entsprechendes CVE Nummer anfordern.

Weitere Erwägungen zur Veröffentlichung

  • Hier sind einige Situationen, in denen MOGWAI LABS von unserer 90-Tage-Frist abweichen kann:
    • Wenn der Schwachstelle aktiv ausgenutzt wird und die Veröffentlichung den Leuten mehr helfen würde, sich zu schützen, als wenn die Schwachstelle nicht veröffentlicht wird.
    • Wenn eine Fehlerbehebung fertig ist und validiert wurde, aber der Projekteigner die Auslieferung unnötig verzögert. In diesem Fall können wir die Veröffentlichung vor Ablauf der 90-Tage-Frist veranlassen, falls sich die Verzögerung sich negativ auf die Öffentlichkeit auswirken könnte.
    • Wenn der Releasezyklus eines Projekts ein längeres Zeitfenster vorgibt, können wir zustimmen die Veröffentlichung über das ursprüngliche 90-Tage-Fenster hinaus zu verzögern, sofern dies vertretbar ist.
  • MOGWAI LABS wird jede Schwachstelle als Einzelfall und auf der Grundlage unserer Interpretation des Risikos bewerten.
  • Wir werden uns bemühen, diese Policy so konsequent wie möglich anzuwenden.
  • Nichts in dieser Richtlinie soll andere Vereinbarungen ersetzen, die zwischen MOGWAI LABS und Dritten bestehen können, wie beispielsweise vertragliche Verpflichtungen.

Anmerkung: Diese Richtlinien sind von Metas vulnerability disclosure policy inspiriert.