Sicherheitsrichtlinie Prusa 3D

Einführung

Diese Richtlinie zur Offenlegung von Schwachstellen gilt für alle Schwachstellen, die Sie Prusa Research a.s. (die "Organisation") zu melden gedenken, sofern auf der Website der Organisation eine security.txt-Datei veröffentlicht ist, die auf diese Richtlinie verweist.

Wir empfehlen Ihnen, diese Richtlinie zur Offenlegung von Schwachstellen vollständig zu lesen, bevor Sie eine Schwachstelle melden, und immer in Übereinstimmung mit ihr zu handeln.

Wir schätzen diejenigen, die sich die Zeit und Mühe nehmen, Sicherheitsschwachstellen gemäß dieser Richtlinie zu melden. Wir werden jede relevante Sicherheitsmeldung, die wir als wertvoll erachten, entweder finanziell oder materiell belohnen, je nach Schwere des Problems.

Berichten

Wenn Sie glauben, eine Sicherheitslücke im System der Organisation gefunden zu haben, senden Sie bitte einen Schwachstellenbericht an die Adresse, die im Feld CONTACT der veröffentlichten security.txt-Datei angegeben ist.

In Ihrem Bericht enthalten Sie bitte Einzelheiten zu:

• Die Website, IP oder Seite, auf der die Sicherheitslücke zu beobachten ist.
• Eine kurze Beschreibung der Art der Schwachstelle, zum Beispiel: "XSS-Schwachstelle".
• Schritte zur Reproduktion. Dabei sollte es sich um einen harmlosen, nicht destruktiven Proof of Concept handeln. Dies trägt dazu bei, dass der Bericht schnell und präzise bearbeitet werden kann. Es verringert auch die Wahrscheinlichkeit von Doppelmeldungen oder der böswilligen Ausnutzung einiger Schwachstellen, wie z.B. Sub-Domain-Übernahmen.

Was Sie erwarten können

Nachdem Sie Ihren Bericht eingereicht haben, werden wir innerhalb von 5 Arbeitstagen auf Ihren Bericht reagieren und versuchen, Ihren Bericht innerhalb von 10 Arbeitstagen zu bearbeiten. Wir werden Sie außerdem über unsere Fortschritte auf dem Laufenden halten.

Die Priorität für die Behebung von Schwachstellen wird anhand der Auswirkungen, des Schweregrads und der Komplexität der Schwachstelle beurteilt. Die Bearbeitung von Schwachstellenberichten kann einige Zeit in Anspruch nehmen. Sie können sich gerne nach dem Status erkundigen, sollten dies aber nicht öfter als einmal alle 14 Tage tun. So können sich unsere Teams auf die Behebung konzentrieren.

Wir werden Sie benachrichtigen, wenn die gemeldete Schwachstelle behoben ist, und Sie können aufgefordert werden, zu bestätigen, dass die Lösung die Schwachstelle angemessen abdeckt.

Nachdem Ihre Schwachstelle behoben wurde, begrüßen wir Anfragen zur Veröffentlichung Ihres Berichts. Wir möchten unsere Richtlinien vereinheitlichen, daher bitten wir Sie, die Veröffentlichung weiterhin mit uns zu koordinieren.

Hinweise

Sie dürfen NICHT:

• Gesetze oder Vorschriften verletzen.
• Auf unnötige, übermäßige oder erhebliche Mengen an Daten zugreifen.
• Daten in den Systemen oder Diensten der Organisation verändern.
• Hochintensive invasive oder zerstörerische Scan-Tools verwenden, um Schwachstellen zu finden.
• Versuchen oder melden jeder Form von Dienststörung, z.B. Überlastung eines Dienstes mit einer hohen Anzahl von Anfragen.
• Die Dienste oder Systeme der Organisation stören.
• Melden von Berichten über nicht ausnutzbare Schwachstellen oder Berichte, die darauf hinweisen, dass die Dienste nicht vollständig mit den "Best Practices" übereinstimmen, z.B. fehlende Sicherheits-Header.
• Berichte über Schwachstellen in der TLS-Konfiguration einreichen, z.B. "schwache" Cipher-Suite-Unterstützung oder das Vorhandensein von TLS1.0-Unterstützung.
• Jede Schwachstelle oder damit zusammenhängende Details auf andere als die in der veröffentlichten security.txt beschriebenen Weise kommunizieren.
• Social Engineeren, 'Phishing' oder physische Angriffe auf Mitarbeiter oder die Infrastruktur der Organisation ausführen.
• Finanzielle Entschädigung für die Offenlegung von Schwachstellen fordern.

Sie müssen:

• Sie müssen stets die Datenschutzbestimmungen einhalten und dürfen die Privatsphäre der Daten, über die die Organisation verfügt, nicht verletzen. Sie dürfen z.B. Daten, die von den Systemen oder Diensten abgerufen werden, nicht weitergeben, weiterverteilen oder nicht ordnungsgemäß sichern.
• Löschen Sie alle Daten, die Sie im Rahmen Ihrer Nachforschungen abgerufen haben, sicher, sobald sie nicht mehr benötigt werden oder innerhalb von 1 Monat nach Behebung der Schwachstelle, je nachdem, was zuerst eintritt (oder wie es das Datenschutzgesetz vorschreibt).

Rechtsvorschriften

Diese Richtlinie ist so konzipiert, dass sie mit der üblichen gängigen Praxis bei der Offenlegung von Sicherheitslücken vereinbar ist. Sie gibt Ihnen nicht die Erlaubnis, in einer Weise zu handeln, die mit dem Gesetz unvereinbar ist oder die dazu führen könnte, dass die Organisation oder Partnerorganisationen gegen rechtliche Verpflichtungen verstoßen.