Richtlinie zur verantwortungsvollen Offenlegung von Foxit Software

Foxit nimmt das Thema Sicherheit sehr ernst und hat sich zum Ziel gesetzt, die branchenweit sichersten Lösungen und Dienste für die Sicherheit von Kundendaten und -systemen anzubieten. Bei Foxit untersuchen wir alle eingegangenen Schwachstellenberichte und setzen die beste Vorgehensweise um, damit unsere Kunden geschützt werden. Foxit ist der Ansicht, dass die Zusammenarbeit mit qualifizierten Sicherheitsforschern Schwachstellen in jeder Technologie aufdecken kann.

Falls Sie ein Sicherheitsforscher sind und eine Sicherheitslücke in unseren Produkten und Diensten festgestellt haben, würden wir uns freuen, wenn Sie uns darüber auf verantwortungsvolle Weise in Kenntnis setzen.

Wenn Sie eine verifizierte Sicherheitslücke gemäß der Richtlinie zur verantwortungsvollen Offenlegung von Foxit identifizieren, verpflichtet sich das Sicherheitsteam von Foxit, Folgendes zu tun:

  • Umgehende Bestätigung des Eingangs Ihres Schwachstellenberichts (innerhalb von 48 Geschäftsstunden nach der Übermittlung)
  • Enge Zusammenarbeit mit Ihnen, um die Art des Problems zu verstehen und zusammen Fristen für die Behebung/Offenlegung zu erarbeiten
  • Sie informieren, wenn die Schwachstelle behoben ist, sodass sie erneut getestet und als beseitigt bestätigt werden kann.
  • Veröffentlichen einer Beschreibung in einem Sicherheitsbulletin, wenn der Fix veröffentlicht ist, und Bestätigen Ihres Beitrags.
  • Nötigenfalls Veröffentlichen eines Sicherheitshinweises

Melden einer potenziellen Sicherheitslücke

  • Senden einer E-Mail an [email protected], um einen GPG-Schlüssel anzufordern.
  • Private Freigabe von Details zur verdächtigen Schwachstelle an Foxit durch Senden einer mit GPG-Schlüssel verschlüsselten E-Mail an [email protected]
  • Übermitteln vollständiger Details der verdächtigen Schwachstelle, sodass das Foxit-Sicherheitsteam das Problem überprüfen und reproduzieren kann

Foxit lässt einige Typen von Sicherheitsuntersuchungen nicht zu:

Um eine verantwortungsvolle Offenlegung zu fördern, fordern wir alle Forscher auf, die folgende Richtlinien zur verantwortungsvollen Offenlegung einzuhalten:

  • Einräumen eines angemessenen Zeitfensters zur Lösung des Problems, bevor es der Öffentlichkeit oder Dritten bekanntgegeben wird. Wir beabsichtigen, kritische Probleme so schnell wie möglich zu lösen.
  • Alles in seinen Kräften stehende zu unternehmen, um eine Verletzung des Datenschutzes, eine Vernichtung von Daten oder eine Unterbrechung oder Herabsetzung des Foxit Software-Dienstes zu vermeiden.

Während der Untersuchung sind die folgenden Verhaltensweisen ausdrücklich untersagt:

  • Ausführung von Aktionen, die Foxit und deren Benutzer negativ beeinflussen (z. B. Spam, Brute-Force, Denial-of-Service…)
  • Zugriff oder der Versuch eines Zugriffs auf Daten oder Informationen, die nicht Ihnen gehören
  • Vernichtung oder Beschädigung oder der Versuch der Vernichtung oder Beschädigung von Daten oder Informationen, die nicht Ihnen gehören
  • Durchführung beliebiger physischer oder elektronischer Angriffe auf Foxit-Personal, -Eigentum oder -Datenzentren
  • Manipulation von Foxit-Servicedesks, -Mitarbeitern oder -Vertriebspartnern zur Erlangung vertraulicher Informationen
  • Verstoßen gegen Gesetze oder Vereinbarungen zur Aufdeckung von Schwachstellen

Der Chief Security Officer und General Counsel von Foxit überprüft jährlich unsere Schwachstellenveröffentlichungspolitik auf rechtliche und betriebliche Probleme.

Foxit möchte jedem einzelnen Forscher danken, der einen Schwachstellenbericht übermittelt und so dazu beiträgt, unsere Gesamtsicherheitslage bei Foxit zu verbessern.