Richtlinie für die verantwortungsvolle Veröffentlichung von Schwachstellen

Das SEC Consult Vulnerability Lab ist die integrierte Forschungseinheit von SEC Consult, einem Unternehmen von Eviden, einem der führenden internationalen Sicherheitsberatungsunternehmen, mit besonderem Schwerpunkt und anerkannter Erfahrung im Bereich der Anwendungssicherheit.

Im Rahmen von Schwachstellenforschung und Sicherheitstests, z.B. Penetration-Tests, entdeckt SEC Consult regelmäßig Sicherheitslücken in kommerzieller Software und Open-Source-Produkten. Während wichtige Informationen über Schwachstellen aus einer Vielzahl von Gründen dem Hersteller, den Kunden des Produkts und der Sicherheitsgemeinschaft zur Verfügung gestellt werden sollten, ist es auch wichtig, das Risiko zu minimieren, das die Veröffentlichung von Schwachstellen für die betroffenen Hersteller und Kunden darstellt.

Der in diesem Dokument beschriebene Prozess der verantwortungsvollen Veröffentlichung zielt darauf ab, den Herstellern die notwendigen Informationen und den Zeitrahmen zur Verfügung zu stellen, die sie benötigen, um eine Sicherheitslücke zu validieren und zu beheben, bzw. gemeinsam eine koordinierte Veröffentlichung der Sicherheitsinformationen gemäß dieser Richtlinie, anzustreben. Dieses Dokument verdeutlicht auch den Umfang und die Begrenzung des Aufwands, den das SEC Consult Vulnerability Lab investieren wird.

Changelog

Version Date Status/Changes Created by Responsible
1.0 29.08.2008 Final version B. Müller B. Müller
1.2 31.3.2011 Updated version with amendments on effort sharing and refined process. J. Greil M. Eiszner
1.3 05.02.2013 Minor changes (logo, PGP key, formatting, ...) J. Greil J. Greil
2.0 07.03.2014 Major updates regarding disclosure procedure J. Greil J. Greil
2.0.1 29.10.2014 New PGP key J. Greil J. Greil
3.0 2016-11-23 New layout, minor adjustments, additional references, added S/MIME fingerprint J. Greil J. Greil
3.0.1 2017-11-23 Updated S/MIME fingerprint J. Greil J. Greil
3.0.2 2019-09-02 Updated PGP key expiry date, SEC Consult address J. Greil J. Greil
3.0.3 2020-02-19 Updated S/MIME fingerprint J. Greil J. Greil
3.1 2021-02-15 Update PGP key expiry date, Atos logo J. Greil J. Greil
3.2 2023-03-07 Adjusted wording regarding deadlines, PGP key expiry update, contact information J. Greil J. Greil
3.3 2023-05-15 Further adjusted wording, address new SEC Consult / Eviden logo J. Greil J. Greil
3.3.1 2023-05-23 Minor updates J. Greil J. Greil