CVD-Richtlinie

(english version below)

CVD-Richtlinie von BelWü

Sollten Sie eine oder mehrere Schwachstellen auf der Website der Belwü-Koordination gefunden haben, können Sie sich vertrauensvoll an uns wenden. Wir nehmen jede gemeldete Schwachstelle ernst. Wir erwarten, dass Sie sich an diese Coordinated-Vulnerability-Disclosure-Richtlinie (CVD-Richtlinie) der Belwü-Koordination halten, damit Ihre Schwachstellenmeldung überprüft und bearbeitet werden kann.

Wir garantieren:

  • jeden Schwachstellenbericht innerhalb des gesetzlichen Rahmens vertraulich zu behandeln.
  • personenbezogene Daten nicht ohne Ihre ausdrückliche Zustimmung an Dritte weiterzugeben.
  • eine Rückmeldung zu jeder getätigten Schwachstellenmeldung zu geben.
  • keine strafrechtlichen Schritte gegen Sie einzuleiten, solange Ihrerseits die Richtlinie und die Grundsätze eingehalten wurden. Dies gilt nicht, wenn erkennbare kriminelle Absichten verfolgt wurden oder werden.
  • Ansprechpartner für den vertrauensvollen Austausch während des gesamten Prozesses zu sein.
  • nach Überprüfung und Bearbeitung einer Schwachstellenmeldung, falls gewünscht, Ihren Namen/Alias sowie eine gewünschte Referenz auf der Danksagungsseite unserer Website zu veröffentlichen.

Bitte beachten Sie für den Fall, dass Sie personenbezogene Daten in der Meldung oder im Meldeformular angegeben haben, die Hinweise in unserer Datenschutzerklärung.

Wir erwarten von Ihnen, dass

  • die gefundene Schwachstelle nicht missbräuchlich ausgenutzt wurde, d. h., dass keine Schäden über die gemeldete Schwachstelle hinaus verursacht wurden.
  • keine Angriffe (wie z. B. Social-Engineering-, Spam-, (Distributed)DoS- oder "Brute Force"-Angriffe, etc.) gegen IT-Systeme oder Infrastrukturen durchgeführt wurden.
  • keine Manipulation, Kompromittierung oder Veränderungen von möglichen Systemen oder Daten Dritter vorgenommen wurden.
  • keine Tools zur Schwachstellenausnutzung, die Dritte zur Begehung von Straftaten nutzen könnten, zu verwenden.
  • es sich bei der Schwachstellenmeldung nicht um Ergebnisse aus automatisierten Tools oder Scans ohne erklärende Dokumentation handelt. Diese stellen keine gültigen Schwachstellenmeldungen dar.
  • es sich bei der Schwachstellenmeldung um bisher nicht bekannte Informationen handelt. Zu bereits behobenen Schwachstellen werden Ihre Informationen entgegengenommen und geprüft.
  • Sie auch unsere Hinweise zu "Information Leaks" (s. u.) beachten.
  • grundsätzlich gültige Kontaktdaten (E-Mail-Adresse) hinterlegt werden, damit wir Sie im Falle von Rückfragen kontaktieren können. Gerade bei komplexen Schwachstellen ist nicht auszuschließen, dass wir weitere Erklärungen und Dokumentationen benötigen. Da wir sehr viel Wert auf eine gute Kommunikation legen, werden Schwachstellenmeldungen ohne Kommunikationsmöglichkeiten (beispielsweise gültige Kontaktdaten) nur eingeschränkt bearbeitet. Auch wenn Sie uns einen Namen oder Kontaktdaten übermitteln, werden wir auf Wunsch im Rahmen der gesetzlichen Möglichkeiten die Anonymität der Sicherheitsforscher gegenüber Dritten wahren.

Hinweise zu "Information Leaks"

  • Sog. "Information Leaks" sind nicht per se Schwachstellen.
  • Wenn Sie die Version eines bei uns laufenden Dienstes (der auf dem aktuellen Stand ist) herausgefunden haben und dann eine CVE-Nummer zitieren, die (in dieser Version des Dienstes) bereits vor mehreren Jahren behoben wurden, werden wir diese Meldung ignorieren.
  • Bitte bedenken Sie auch, dass es einen Unterschied macht, ob es sich um eine von den Software-Entwicklern veröffentlichte Version oder um eine von einer Distribution paketierte Version (in der Sicherheitslücken durch die Distribution gepatcht sind) handelt.
  • Wenn es sich nicht um personenbezogene Daten handelt, ist dies in der Regel auch kein Problem.

Schwachstellenmeldung

Sie können uns Schwachstellen auf unserer Website per E-Mail melden: abuse@belwue.de

Unseren öffentlichen PGP-Key finden Sie unter: https://belwue.de/abuse-pgp-pubkey

Belohnungen

Belwü bietet Sicherheitsforschern als Anerkennungsmöglichkeit die Referenzierung (Name oder Alias) sowie einen gewünschten Referenzlink auf unserer Danksagungsseite ("Hall-of-Fame") an.

Im Rahmen einer durchgeführten Sicherheitsmeldung bieten wir aktuell keine finanzielle Kompensation an.

CVD policy of BelWü

If you find one or more (security) weaknesses on the website of the Belwü coordination, you can submit them to us. We will take every submission seriously. We expect you to follow this coordinated vulnerability disclosure policy (CVD policy), so we can check and process your submission.

We guarantee:

  • to keep each submission confidential within the legal scope.
  • not to submit your personal data to others without your consent.
  • to give you feedback for each submission.
  • not to press charges against you for revealing weknesses to us, as long as you stick to this policy. This paragraph does not apply if criminal intentions have been or are being pursued.
  • to be your trustworhy contact person during the whole process.

Please note our privacy policy(de), in case you submit personal data.

We expect of you:

  • not to misuse any weakness you find.
  • not to perform any attacks against our IT-systems or infrastructure, especially but not limited to: social engineeering, spamming, DDoS oder brute force attacks.
  • not to manipulate or compromise systems or data of us or third parties.
  • not to use tools to exploit weaknesses, which could be used by third parties to commit crimes.
  • not to submit findings of automated scans without descriptive documentation. These do count as viable submissions.
  • not to submit findings that are already known or fixed.
  • to also pay heed to our guidance for information leaks (see below).
  • to give us a valid contact information, so we can reach you in case of follow-up questions. Especially complex weaknesses are likely to throw follow-up questions that require more explanation or documentation. We value good communication, therefore submissions without valid contact data can only be processed to a limited extent. If you submit your name or contact data, we will keep your anonymity if you wish so, within the legal scope.

Guidance for information leaks

  • Information leaks are not necessarily vulnerabilities in itself.
  • If you found out the software release version of a service (which is up to date) and then quote a CVE-number that has been fixed for several years (in the version you found) we will ignore your report.
  • Please also keep in mind that the bare release of a software and a distribution can be different (i. e. security issues can be patched in the distribution’s release).
  • If the information is not personally identifiable information (PII), it’s also likely that this is not a problem.

Submission

You can submit (security) weaknesses on our website via e-mail: abuse@belwue.de

You can find our public pgp key at: https://belwue.de/abuse-pgp-pubkey

Compensation

Belwü offers security engineers to be mentioned in our hall of fame with name and/or alias and/or your preferred reference.

We are sorry that we currently cannot offer any financial compensation.