Политика ответственного раскрытия уязвимостей

Введение

Blackforest Systems серьёзно относится к безопасности. Если вы обнаружили уязвимость в Elite Lux Admin Panel, мы благодарны за ответственное раскрытие.

Область применения

В области применения (in-scope):

Elite Lux Admin Panel (все версии на Hetzner DE)
API-эндпоинты и аутентификация
Управление сессиями и cookies
Компоненты инфраструктуры (Caddy, OpenBao, Stalwart)

Не в области применения (out-of-scope):

Атаки типа «social engineering» на сотрудников
Физический доступ к серверам клиентов
Уязвимости в сторонних сервисах, не контролируемых нами

Как сообщить об уязвимости

Email:security@blackforest-systems.de

Тема:[CVD] Краткое описание уязвимости

Пожалуйста, включите в сообщение:

Описание уязвимости и её потенциальное воздействие
Шаги для воспроизведения (PoC)
Версия продукта или URL-адрес
Ваши контактные данные (опционально)

Сроки обработки

Подтверждение получения:: В течение 48 часов
Первичная оценка:: В течение 7 рабочих дней
Исправление (критические):: В течение 30 дней
Координированное раскрытие:: По договорённости — обычно через 90 дней после исправления

Safe Harbor (защита исследователей)

Исследователи, действующие добросовестно в соответствии с данной политикой, не будут привлекаться к юридической ответственности. Мы не будем инициировать правовые действия в связи с ответственным исследованием безопасности.

Обработка персональных данных

Информация об уязвимостях обрабатывается строго конфиденциально. Персональные данные исследователей не передаются третьим сторонам без явного согласия.

Благодарности

Мы не предлагаем денежного вознаграждения. Признанные исследователи упоминаются в нашем Hall of Fame с их согласия.

Контакты

Email:security@blackforest-systems.de

PGP-ключ:/pgp-key.asc

Правовое основание

EU Cyber Resilience Act (CRA) Art. 14 — обязательства по раскрытию уязвимостей
NIS 2 Directive Art. 23 — уведомление об инцидентах
RFC 9116 — security.txt стандарт
§202a–c StGB — исследования безопасности защищены при добросовестных действиях

Область применения

В области применения (in-scope):

Elite Lux Admin Panel (все версии на Hetzner DE)

API-эндпоинты и аутентификация

Управление сессиями и cookies

Компоненты инфраструктуры (Caddy, OpenBao, Stalwart)

Не в области применения (out-of-scope):

Атаки типа «social engineering» на сотрудников
Физический доступ к серверам клиентов
Уязвимости в сторонних сервисах, не контролируемых нами

Как сообщить об уязвимости

Email:security@blackforest-systems.de

Тема:[CVD] Краткое описание уязвимости

Пожалуйста, включите в сообщение:

Описание уязвимости и её потенциальное воздействие
Шаги для воспроизведения (PoC)
Версия продукта или URL-адрес
Ваши контактные данные (опционально)

Сроки обработки

Подтверждение получения:

В течение 48 часов

Первичная оценка:

В течение 7 рабочих дней

Исправление (критические):

В течение 30 дней

Координированное раскрытие:

По договорённости — обычно через 90 дней после исправления

Safe Harbor (защита исследователей)

Правовое основание

EU Cyber Resilience Act (CRA) Art. 14 — обязательства по раскрытию уязвимостей

NIS 2 Directive Art. 23 — уведомление об инцидентах

RFC 9116 — security.txt стандарт

§202a–c StGB — исследования безопасности защищены при добросовестных действиях

Политика раскрытия уязвимостей

Введение

Область применения

Как сообщить об уязвимости

Сроки обработки

Safe Harbor (защита исследователей)

Обработка персональных данных

Благодарности

Контакты

Правовое основание

Политика раскрытия уязвимостей

Введение

Область применения

Как сообщить об уязвимости

Сроки обработки

Safe Harbor (защита исследователей)

Обработка персональных данных

Благодарности

Контакты

Правовое основание