Vulnerability Disclosure Policy

Ein wichtiger Teil von Langdocks Strategie zum Aufbau einer sicheren Plattform für unsere Nutzer ist die Meldung von Schwachstellen. Wir schätzen die Zusammenarbeit mit der breiteren Security-Research-Community und verstehen, dass die Förderung dieser Beziehung Langdock dabei helfen wird, die eigene Sicherheit zu verbessern. Wir nehmen Schwachstellen unabhängig von ihrer Quelle sehr ernst und ermutigen Personen, Sicherheitslücken privat an unser Entwicklerteam zu melden, bevor sie in einem öffentlichen Forum offengelegt werden. Unser Ziel ist es, Schwachstellen aufzudecken und sie zu beheben, bevor sie ausgenutzt werden können.

Unsere Verpflichtung

1. Im Geltungsbereich

Wir verpflichten uns, alle gemeldeten Probleme zu untersuchen und anzugehen, und bitten dich, den folgenden Prozess für die Meldung von Sicherheitslücken in den folgenden Produkten zu verwenden:

• Langdock Plattform

2. Außerhalb des Geltungsbereichs

Abhängigkeiten von Drittanbietern. Diese Richtlinie deckt keine Schwachstellen ab, die in Informationssystemen von Drittanbietern entdeckt werden. Wenn solche Schwachstellen identifiziert werden, sollten sie gemäß deren Offenlegungsrichtlinie direkt an den Anbieter gemeldet werden.

3. Wir werden alle von dir bereitgestellten Informationen vertraulich behandeln.

4. Wir versichern dir, dass wir keine rechtlichen Schritte gegen Researcher einleiten werden, die in gutem Glauben handeln und sich an diesen Prozess halten.

Der Prozess

1. Melde das Problem

Wenn du Sicherheitsbedenken hast oder nicht offengelegte Sicherheitslücken in unseren Produkten oder Diensten melden möchtest, sende uns bitte eine E-Mail an security@langdock.com. Beachte, dass wir unter dieser Adresse keine Fehlerberichte akzeptieren.

2. Füge Details hinzu

Bitte gib so viele Informationen wie möglich über die potenzielle Schwachstelle an, einschließlich, aber nicht beschränkt auf Folgendes:

• Detaillierte Zusammenfassung der Schwachstelle.
• Angriffsfläche (zum Beispiel URL und Parameter).
• Potenzielle Schwachstelle (zum Beispiel Brute-Force, SQL-Injection).
• Tools, die zur Ausnutzung der potenziellen Schwachstelle verwendet wurden (zum Beispiel Betriebssystemkonfiguration und Browser).
• Proof of Concept, wie die Schwachstelle ausgenutzt werden kann (zum Beispiel Beispielcode und Schritte zur Reproduktion der Schwachstelle).
• Schweregrad (zum Beispiel niedrig-mittel-hoch-kritisch, oder verwende das CVSS 3.1 Score-Schätzungstool).
• Etwaige Pläne zur öffentlichen Offenlegung.

Sende vorzugsweise eine Klartext-E-Mail für jede Schwachstelle, die du meldest.

3. Schwachstellen in anderen Open-Source-Projekten

Wir integrieren Software aus anderen Open-Source-Projekten und begrüßen Schwachstellenmeldungen für diese. Du solltest diese Schwachstellen jedoch auch direkt an das betroffene Projekt melden.

4. Nutze Common Sense

Bitte verwende Common Sense bei der Suche nach Sicherheitsproblemen in unseren Produkten.

Nächste Schritte

Wir werden jedes gemeldete Problem umgehend untersuchen. In bestimmten Fällen arbeiten wir möglicherweise privat mit dir zusammen, um die Schwachstelle zu beheben. Wir können uns dafür entscheiden, keine Informationen öffentlich preiszugeben, während wir das Risiko untersuchen und mindern.

Nach der Validierung und angemessenen Minderung (falls vorhanden) des Risikos werden wir betroffene Kunden benachrichtigen und die CVE der folgenden Liste hinzufügen.