Политика разглашения

Этот документ содержит политику, согласно которой SecurityLab предоставляет данные об уязвимостях производителям программного обеспечения, своим клиентам, а также размещает эти данные в общем доступе.

SecurityLab ответственно относится к уведомлению производителей программного обеспечения о существующих ошибках в их продуктах и готов сотрудничать с производителями для устранения уязвимостей или разработки временного решения.

1. Если производитель не публикует данные о контактах, по которым с ним можно связаться по вопросам безопасности, то на общедоступный электронный адрес производителя будет направлено письмо с соответствующим запросом. Согласно политике SecurityLab, информация об уязвимостях не предоставляется через online-формы, но эти формы могут использоваться для запроса необходимых контактов.
2. Когда контакты производителя, по которым с ним можно связаться по вопросам безопасности, известны, то производителю направляется письмо с информацией об обнаруженной уязвимости.
3. Если производитель не отвечает на это письмо в течении 5 рабочих дней, то оно отправляется заново. Если производитель не ответит на повторное письмо в течении 5 рабочих дней, то SecurityLab оставляет за собой право опубликовать информацию об уязвимости.
4. Если производитель ответит на первое или повторное письмо, то:
   • производителю будет отправлено письмо с подробностями об обнаруженной уязвимости, а также предполагаемая дата публикации данных о ней. Дата публикации может быть изменена, если производитель сообщает, что он не успевает выпустить соответствующее обновление.
   • SecurityLab ожидает, что производитель будет сообщать о текущем статусе работы над устранением уязвимости. Если отправка таких сообщений не предусмотрена политикой производителя, то он будет ежемесячно получать запросы о состоянии обновления.
   • Если производитель не отвечает на такой запрос, то запрос отправляется повторно через 5 рабочих дней.
   • Если производитель не отвечает на повторный запрос, SecurityLab оставляет за собой право опубликовать информацию об уязвимости через 5 рабочих дней без дальнейших согласований.
5. Информация об уязвимости может быть опубликована, если:
   • Достигнута дата публикации, которая была оговорена с производителем или о которой производитель был уведомлен
   • Производитель опубликует обновление или советы по предотвращению эксплуатации уязвимости
   • Третья сторона опубликует данные об указанной уязвимости
   • В сети Интернет появится способ эксплуатации уязвимости
   • Производитель не исправляет существующую уязвимость в течении 6 месяцев с момента первого обращения
   • Производитель ведет себя некорректно при получении уведомления об обнаруженной уязвимости или в ходе переписки, например:
     • Неявно распространяет данные об уязвимости, публикуя обновление без соответствующего уведомления пользователей
     • публикует обновление для одной из версий продукта, в то время как обновлений для других версий не опубликовано
     • не отвечает на запросы
6. SecurityLab оставляет за собой право передавать информацию об обнаруженных уязвимостях экспертам Positive Technologies Research Team для дальнейшего использования ее в продуктах XSpider, MaxPatrol и др.
7. SecurityLab оставляет за собой право ускорить публикацию данных об уязвимости в любой момент, уведомив при этом производителя.
8. Перед отправкой производителю извещения о наличии уязвимости некоторые данные (индивидуальный номер уведомления, название производителя, вектор эксплуатации, рейтинг опасности и дата выхода уведомления) публикуются в соответствующем разделе сайта SecurityLab (см. п.9) в открытом доступе.
9. Подробности об уязвимостях публикуются в открытых разделах на следующих сайтах:
   • www.securitylab.ru/lab/ (Русская версия)
   • en.securitylab.ru/lab/ (Английская версия)
   • http://www.ptsecurity.ru/lab/advisory/

Версия 1.1