.
.
Ansvarlig rapportering

Disclosure-politik

Vores disclosure-politik beskriver hvordan sikkerhedsforskere kan rapportere sårbarheder ansvarligt, og hvad de kan forvente af os i processen.

Scroll
Hvad er ansvarlig disclosure?

Samarbejde om sikkerhed

Ansvarlig disclosure er en praksis hvor sikkerhedsforskere rapporterer sårbarheder direkte til den berørte organisation, før de offentliggøres. Dette giver organisationen tid til at fikse problemet og beskytte brugerne.

Hos Defend.gl tror vi på, at transparens og samarbejde er nøglen til bedre cybersikkerhed. Vores disclosure-politik sikrer en struktureret og respektfuld proces for begge parter.

Når du rapporterer en sårbarhed gennem Defend.gl, forpligter vi os til:

  • At bekræfte modtagelse inden for 48 timer
  • At holde dig opdateret om status på din rapport
  • At kreditere dig for dit fund (hvis ønsket)
  • At udbetale eventuelle bounties rettidigt

Hvorfor disclosure?

Offentliggørelse af sårbarheder uden at give organisationen tid til at reagere kan sætte tusindvis af brugere i fare.

Ansvarlig disclosure beskytter alle: brugere får sikkerhed, organisationer får tid til at fikse, og forskere får anerkendelse.

Sådan rapporterer du

Trin-for-trin guide

Følg disse trin for at sikre en effektiv og sikker rapportering

1. Verificér sårbarheden

Sørg for at du kan reproducere sårbarheden og dokumentér trinene. Tag screenshots eller optag video hvis muligt.

2. Skriv en rapport

Beskriv sårbarheden klart med titel, beskrivelse, reproduktionstrin, påvirkning og eventuel proof-of-concept.

3. Indsend via platformen

Brug Defend.gl's rapporteringsformular til at indsende din rapport sikkert. Undgå at sende via usikre kanaler.

4. Vent på respons

Vi bekræfter modtagelse inden for 48 timer og holder dig opdateret gennem hele processen indtil fix og udbetaling.

Rapportindhold

Hvad skal din rapport indeholde

En god sårbarhedsrapport gør det nemmere for os at forstå og verificere problemet. Jo mere detaljeret din rapport er, jo hurtigere kan vi reagere.

Beskrivende titel

En klar titel der opsummerer sårbarheden, f.eks. "SQL Injection i login-formular på example.gl"

Detaljeret beskrivelse

Forklar hvad sårbarheden er, hvilken type sårbarhed det er (XSS, IDOR, SQLi, etc.) og hvad der forårsager den.

Reproduktionstrin

Trin-for-trin instruktioner til at reproducere sårbarheden. Inkludér URL'er, parametre og eventuelle payloads.

Proof-of-Concept

Screenshots, videoer eller kodeeksempler der demonstrerer sårbarheden. Hold PoC minimal og undgå at eksfiltrere data.

Påvirkningsvurdering

Beskriv den potentielle påvirkning: Hvad kan en angriber opnå? Hvilke data er i fare? Hvor mange brugere påvirkes?

Forslag til løsning (valgfrit)

Hvis du har forslag til hvordan sårbarheden kan fikses, er det altid værdsat. Dette er dog ikke påkrævet.

Eksempel på god titel

"Stored XSS via kommentarfelt i /blog/post giver adgang til admin-cookies"

Titlen indeholder sårbarhedstype, lokation og påvirkning.

CVSS Score

Hvis du kan, inkludér en CVSS-score for at hjælpe med at vurdere sårbarhedens alvorlighed.

Brug FIRST's CVSS-kalkulator til at beregne scoren.

Responstider

Hvad du kan forvente af os

Vi forpligter os til følgende responstider for alle indsendte rapporter

48 timer

Bekræftelse af modtagelse med rapport-ID og foreløbig vurdering af alvorlighed.

7 dage

Detaljeret vurdering af rapporten med beslutning om gyldighed og bounty-estimat.

90 dage

Standard disclosure-tidslinje. Sårbarheden fikses og koordineret offentliggørelse aftales.

14 dage

Udbetaling af bounty efter verificering og godkendelse af rapporten.

Disclosure-tidslinje

90-dages koordineret disclosure

Defend.gl følger en 90-dages koordineret disclosure-politik. Dette giver organisationer tilstrækkelig tid til at udvikle, teste og implementere en løsning.

Standard tidslinje:
Efter 90 dage fra den første rapport kan sikkerhedsforskeren offentliggøre detaljer om sårbarheden, medmindre andet er aftalt.

Forlængelse:
I komplekse tilfælde kan tidslinjen forlænges efter gensidig aftale. Vi kommunikerer åbent om status og forventet fix-dato.

Tidlig offentliggørelse:
Hvis sårbarheden aktivt udnyttes, eller hvis organisationen nægter at reagere, kan tidslinjen forkortes efter vores vurdering.

Kredit:
Vi krediterer altid forskeren i vores security advisories, medmindre forskeren ønsker at forblive anonym.

Tidslinje oversigt

  • Dag 0: Rapport modtaget
  • Dag 2: Bekræftelse sendt
  • Dag 7: Vurdering færdig
  • Dag 30: Status-opdatering
  • Dag 60: Fix udviklet
  • Dag 90: Koordineret disclosure

Undtagelser

Kritiske sårbarheder der aktivt udnyttes kan kræve hurtigere handling. I disse tilfælde arbejder vi sammen med forskeren om en accelereret tidslinje.

Uden for scope

Hvad vi ikke accepterer

Følgende typer rapporter vil normalt ikke blive accepteret eller belønnet

Scanner-output

Rå output fra automatiserede scannere uden manuel verificering eller kontekst.

Teoretiske sårbarheder

Sårbarheder uden praktisk påvirkning eller som ikke kan demonstreres.

Self-XSS

XSS der kun påvirker den bruger der udfører angrebet mod sig selv.

Missing headers

Manglende security headers uden demonstreret udnyttelse eller påvirkning.

Kendte sårbarheder

Sårbarheder der allerede er rapporteret eller som vi arbejder på at fikse.

Social engineering

Phishing, vishing eller manipulation af medarbejdere er ikke tilladt.

Kontakt

Har du spørgsmål?

Hvis du er usikker på om en sårbarhed er inden for scope, eller har spørgsmål til disclosure-processen, er du velkommen til at kontakte os.

Brug vores kontaktformular til at sende os en besked. Du kan inkludere din PGP-nøgle hvis du ønsker krypteret svar.

Vi besvarer henvendelser inden for 48 timer på hverdage.

Relaterede politikker

Klar til at rapportere?

Fundet en sårbarhed?

Brug vores sikre rapporteringsplatform til at indsende din sårbarhedsrapport. Vi gennemgår den hurtigst muligt.

Rapportér sårbarhed Læs Safe Harbor-politik