Skip to content

Security: Marco-vrijBRP/vrijBRP

Security

SECURITY.md

Beveiligingsbeleid en -procedures

In dit document worden de beveiligingsprocedures en het algemene beleid voor vrijBRP uiteen gezet.

Een beveiligingsfout melden

Het vrijBRP team en de community nemen alle beveiligingsfouten in vrijBRP serieus. Bedankt voor het verbeteren van de beveiliging van vrijBRP. We waarderen uw inzet en uw verantwoordelijke openbaarmaking (responsible disclosure) en we zullen er alles aan doen om uw bijdragen op de juiste waarde te schatten.

Meld beveiligingsfouten naar het vrijBRP team door een e-mail te sturen naar [email protected].

Het vrijBRP team bevestigt de ontvangst van uw e-mail binnen 48 uur en sturen een meer gedetailleerd inhoudelijk antwoord binnen 48 uur (na de eerdere ontvangstbevestiging) waarin we vervolgstappen aangeven met betrekking tot de behandeling van uw melding. Na die initiële inhoudelijke reactie zal het security team u zoveel mogelijk op de hoogte houden van de voortgang van de behandeling op weg naar een oplossing en (volledige) bekendmaking. We kunnen de melder om aanvullende informatie en advies vragen.

Meld beveiligingsfouten in een module van een derde partij bij de persoon of het team die deze module onderhoud.

Beleid rond openbaarmaking

Als het security team een beveiligingsfout gemeld krijgt, zal deze worden toegewezen aan een primaire behandelaar. Deze persoon zal het fix en release proces coördineren met daarin de volgende stappen:

  • Bevestiging van het probleem en vaststellen van de versies die erdoor worden geraakt.
  • Audit code om potentieel gelijkaardige problemen te vinden.
  • Voorbereiden van fixes voor de laatst uitgebrachte release. Deze fixes zullen zo snel mogelijk worden uitgebracht.

Ook al zijn we een groot voorstander van volledige transparantie, hanteren we een openbaarmakingsdeadline van 90 dagen vanaf de dag van ontvangst van een melding van een beveiligingsfout met een grote impact. Deze kwetsbaarheid zal met de community worden gedeeld na 90 dagen of eerder als een fix is uitgebracht.

Opmerkingen over dit beleid

Als u suggesties heeft over hoe dit proces kan worden verbeterd, dien dan een pull request in.

There aren’t any published security advisories