Alkemio beveiliging

Rapportage van een Kwetsbaarheid - Privé Ontdekking Proces

Beveiliging heeft de hoogste prioriteit en alle beveiligingskwetsbaarheden of vermoedelijke beveiligingskwetsbaarheden moeten privé aan Alkemio worden gemeld, om aanvallen op huidige gebruikers van Alkemio te minimaliseren voordat ze worden verholpen. Kwetsbaarheden zullen worden onderzocht en gepatcht in de volgende patch (of kleinere) release zo snel mogelijk. Deze informatie kan volledig intern binnen het project worden gehouden.

Als u op de hoogte bent van een openbaar gedocumenteerde beveiligingskwetsbaarheid voor Alkemio, neem dan ONMIDDELLIJK contact op met security@alkem.io om het Alkemio Beveiligingsteam te informeren.

BELANGRIJK: Meld geen openbare problemen op GitHub voor beveiligingskwetsbaarheden

Om een kwetsbaarheid of een beveiligingsgerelateerd probleem te melden, stuur dan een e-mail naar het privé-adres security@alkem.io met de details van de kwetsbaarheid. De e-mail zal worden behandeld door het Alkemio Beveiligingsteam, dat bestaat uit Alkemio-beheerders die commit- en release-machtigingen hebben. We onderhouden ook een PGP-ondertekend security.txt-bestand op onze website in overeenstemming met RFC 9116. E-mails zullen binnen 5 werkdagen worden behandeld, inclusief een gedetailleerd plan om het probleem te onderzoeken en eventuele tijdelijke oplossingen in de tussentijd uit te voeren. Meld geen niet-beveiligingsimpactvolle bugs via dit kanaal.

Voorgestelde E-mailinhoud

Voorzie een beschrijvende onderwerpregel en vermeld in de body van de e-mail de volgende informatie:

  • Basisidentificatie-informatie, zoals uw naam en uw affiliatie of bedrijf.
  • Gedetailleerde stappen om de kwetsbaarheid te reproduceren (POC-scripts, screenshots en gecomprimeerde pakketopnames zijn allemaal nuttig voor ons).
  • Beschrijving van de effecten van de kwetsbaarheid op Alkemio en de gerelateerde hardware- en softwareconfiguraties, zodat het Alkemio Beveiligingsteam deze kan reproduceren.
  • Hoe de kwetsbaarheid het gebruik van Alkemio beïnvloedt en een inschatting van het aanvaloppervlak, indien aanwezig.
  • Lijst van andere projecten of afhankelijkheden die in combinatie met Alkemio zijn gebruikt om de kwetsbaarheid te produceren.

Wanneer een kwetsbaarheid te rapporteren

  • Wanneer u denkt dat Alkemio een potentiële beveiligingskwetsbaarheid heeft.
  • Wanneer u een potentiële kwetsbaarheid vermoedt, maar niet zeker weet of deze Alkemio beïnvloedt.
  • Wanneer u op de hoogte bent van of een potentiële kwetsbaarheid vermoedt in een ander project dat door Alkemio wordt gebruikt.

Do’s:

  • Meld de kwetsbaarheid zo snel mogelijk, om het risico te minimaliseren dat vijandige actoren deze vinden en er misbruik van maken.
  • Meld op een wijze die de vertrouwelijkheid van het rapport waarborgt, zodat anderen geen toegang krijgen tot de informatie.
  • Voorzie voldoende informatie om het probleem te reproduceren, zodat we het kunnen oplossen. Zie ook Voorgestelde E-mailinhoud
  • Gebruik het label ‘informatief’ in het geval van een code review of ander advies dat niet is gekoppeld aan een specifieke categorie.

Don’ts:

  • Openbaar maken van de kwetsbaarheid of het probleem aan anderen totdat het is opgelost.
  • Gebruik de kwetsbaarheid verder dan noodzakelijk om het bestaan ervan vast te stellen.
  • Kopiëren, aanpassen of verwijderen van gegevens op het systeem. Een alternatief hiervoor is het maken van een directorylisting van het systeem.
  • Wijzigingen aanbrengen in het systeem.
  • Herhaaldelijk toegang verkrijgen tot het systeem of toegang delen met anderen.
  • Gebruik maken van brute force-aanvallen, aanvallen op fysieke beveiliging, sociale engineering, distributed denial of service, spam of toepassingen van derden om toegang te verkrijgen tot het systeem.
  • Meld GEEN openbare issue op GitHub

Wat wij beloven:

  • We zullen binnen 5 werkdagen reageren op uw rapport met onze evaluatie van het rapport en een verwachte datum voor oplossing.
  • Als u de instructies hierboven hebt gevolgd, zullen we geen juridische stappen tegen u ondernemen met betrekking tot het rapport.
  • We zullen uw persoonlijke gegevens niet doorgeven aan derden zonder uw toestemming, tenzij het noodzakelijk is om te voldoen aan een wettelijke verplichting. Rapporteren onder een pseudoniem of anoniem is mogelijk.
  • We zullen u op de hoogte houden van de voortgang bij het oplossen van het probleem.
  • In de openbare informatie over het gerapporteerde probleem, zullen we uw naam vermelden als de ontdekker van het probleem (tenzij u anders wenst).

We streven ernaar om alle problemen zo snel mogelijk op te lossen, en we willen een actieve rol spelen in de uiteindelijke publicatie over het probleem nadat het is opgelost. We zijn niet in de positie om enige financiële beloning te bieden voor het rapporteren van kwetsbaarheden, maar we waarderen echt iedereen die ons helpt Alkemio veilig en beveiligd te houden.

Dit Responsible Disclosure beleid is gebaseerd op een voorbeeld geschreven door Harbor en de Responsible Disclosure Guideline van de NCSC.