In dit document worden de beveiligingsprocedures en het algemene beleid voor
vrijBRP
uiteen gezet.
Het vrijBRP
team en de community nemen alle beveiligingsfouten in vrijBRP
serieus. Bedankt voor het verbeteren van de beveiliging van vrijBRP
. We
waarderen uw inzet en uw verantwoordelijke openbaarmaking (responsible
disclosure) en we zullen er alles aan doen om uw bijdragen op de juiste waarde
te schatten.
Meld beveiligingsfouten naar het vrijBRP
team door een e-mail te sturen naar
[email protected].
Het vrijBRP
team bevestigt de ontvangst van uw e-mail binnen 48 uur en sturen
een meer gedetailleerd inhoudelijk antwoord binnen 48 uur (na de eerdere
ontvangstbevestiging) waarin we vervolgstappen aangeven met betrekking tot de
behandeling van uw melding. Na die initiële inhoudelijke reactie zal het
security team u zoveel mogelijk op de hoogte houden van de voortgang van de
behandeling op weg naar een oplossing en (volledige) bekendmaking. We kunnen
de melder om aanvullende informatie en advies vragen.
Meld beveiligingsfouten in een module van een derde partij bij de persoon of het team die deze module onderhoud.
Als het security team een beveiligingsfout gemeld krijgt, zal deze worden toegewezen aan een primaire behandelaar. Deze persoon zal het fix en release proces coördineren met daarin de volgende stappen:
- Bevestiging van het probleem en vaststellen van de versies die erdoor worden geraakt.
- Audit code om potentieel gelijkaardige problemen te vinden.
- Voorbereiden van fixes voor de laatst uitgebrachte release. Deze fixes zullen zo snel mogelijk worden uitgebracht.
Ook al zijn we een groot voorstander van volledige transparantie, hanteren we een openbaarmakingsdeadline van 90 dagen vanaf de dag van ontvangst van een melding van een beveiligingsfout met een grote impact. Deze kwetsbaarheid zal met de community worden gedeeld na 90 dagen of eerder als een fix is uitgebracht.
Als u suggesties heeft over hoe dit proces kan worden verbeterd, dien dan een pull request in.