Foxit Richtlinie zur Offenlegung von Schwachstellen
Foxit nimmt Sicherheit sehr ernst und ist bestrebt, die sichersten Lösungen und Dienste der Branche bereitzustellen, um die Sicherheit von Kundendaten und -systemen zu gewährleisten. Bei Foxit untersuchen wir alle eingegangenen Schwachstellenmeldungen und ergreifen die besten Maßnahmen zum Schutz unserer Kunden. Foxit ist davon überzeugt, dass die Zusammenarbeit mit erfahrenen Sicherheitsforschern Schwachstellen in jeder Technologie identifizieren kann.
Kontaktinformationen
Wenn Sie glauben, eine Sicherheitslücke in einem Foxit Produkt oder einer Dienstleistung gefunden zu haben, kontaktieren Sie uns bitte:
- E-Mail: [email protected]
Wir empfehlen eine verschlüsselte Kommunikation für sensible Berichte.
Umfang
Wir akzeptieren Schwachstellenberichte für:
- Alle von Foxit entwickelten Produkte und Dienstleistungen werden derzeit unterstützt und vertrieben.
- Von Foxit betriebene Webdienste und Plattformen (z. B. foxit.com).
Wir akzeptieren keine Meldungen zu Schwachstellen für:
- Software oder Plugins von Drittanbietern, die nicht von Foxit entwickelt wurden.
- Sicherheitslücken in Diensten oder Bibliotheken Dritter, die von anderen unabhängig genutzt werden.
- End-of-Life-Produkte werden nicht mehr unterstützt.
Foxit, als CVE Numbering Authority (CNA), darf zuweisen CVE IDs für Schwachstellen, die Produkte und Dienstleistungen in diesem Bereich betreffen. Wenn eine Schwachstelle in einer Komponente eines Drittanbieters entdeckt wird, die in ein Foxit-Produkt eingebettet ist, koordiniert Foxit mit dem Upstream-Anbieter die verantwortungsvolle Handhabung und Behebung, kontrolliert jedoch nicht deren CVE Zuweisung oder Offenlegungszeitpunkt.
Was in einen Bericht aufzunehmen
Um uns bei der effizienten Bearbeitung von Meldungen zu helfen, geben Sie bitte Folgendes an:
- Die Foxit betroffenen Produkte oder Dienstleistungen.
- Beschreibung des vermuteten Sicherheitsproblems und seiner Auswirkungen.
- Proof-of-Concept (PoC) oder unterstützende Beweise, falls verfügbar.
- Gegebenenfalls geplanter Offenlegungsplan.
Antwort Verfahren
Nach Erhalt einer Schwachstellenmeldung werden wir Folgendes tun:
- Bestätigen Sie den Empfang innerhalb von 5 Werktagen.
- Validieren und bewerten Sie die Auswirkungen der Schwachstelle.
- Halten Sie den Reporter über Fortschritte und Abhilfepläne auf dem Laufenden.
Offenlegung Zeitleiste
Wir folgen dem Prinzip der koordinierten Offenlegung von Schwachstellen:
- Bestätigte Foxit Schwachstellen werden erst öffentlich bekannt gegeben, nachdem der entsprechende Fix für Kunden freigegeben wurde.
- Für alle bestätigten Schwachstellen wird eine interne Nachverfolgung durchgeführt, um die Behebung effizient zu verwalten.
- Gegebenenfalls geben wir Informationen über bestätigte Schwachstellen auch an relevante Schwachstellenmanagement-Communitys weiter, um sicherzustellen, dass das Problem ordnungsgemäß erfasst und kommuniziert wird.
- Bei Schwachstellen, die in Software von Drittanbietern festgestellt werden, die in Foxit-Produkten verwendet wird, werden wir den betroffenen Anbieter benachrichtigen und eine koordinierte Behebung unterstützen, aber wir haben keinen Einfluss auf den Zeitpunkt ihrer Offenlegung.
Anerkennung und Namensnennung
Wenn Sie es wünschen, würdigen wir Ihren Beitrag in unseren Sicherheitshinweisen. Alternativ respektieren wir Anfragen nach Anonymität.
Abhängig von der Art der Sicherheitslücke können wir auf unserer Website eine Gutschrift anbieten.
Notiz: Mit Anerkennung ist die Anerkennung Ihres Beitrags gemeint, mit Namensnennung die öffentliche Nennung des Forschers.
Sicherer Hafen
Foxit wird keine rechtlichen Schritte gegen Personen einleiten, die:
- Führen Sie Sicherheitsrecherchen in gutem Glauben durch.
- Befolgen Sie die Grundsätze der verantwortungsvollen Offenlegung.
- Vermeiden Sie unbefugten Datenzugriff, Dienstunterbrechungen oder Datenschutzverletzungen.
Richtlinien zur verantwortungsvollen Offenlegung
Um uns bei der effektiven und verantwortungsvollen Behebung von Schwachstellen zu helfen, bitten wir Forscher:
- Geben Sie Foxit ausreichend Zeit, um das gemeldete Problem zu untersuchen und zu beheben, bevor Sie es öffentlich oder an Dritte weitergeben. Wir sind bestrebt, kritische Probleme so schnell wie möglich zu lösen.
- Achten Sie darauf, Handlungen zu vermeiden, die die Privatsphäre verletzen, Daten beschädigen oder die Dienste von Foxit unterbrechen/beeinträchtigen könnten.
Verbotene Aktivitäten
Die folgenden Aktionen sind während der Sicherheitsrecherche strengstens untersagt:
- Durchführen von Aktivitäten, die sich negativ auf Foxit oder seine Benutzer auswirken können (z. B. Spam, Brute Force, Denial of Service).
- Zugriff auf oder versuchter Zugriff auf Daten oder Informationen, Zerstörung oder Beschädigung, Versuch der Zerstörung oder Beschädigung von Daten oder Informationen, die Ihnen nicht gehören.
- Durchführung jeglicher physischer oder elektronischer Angriffe auf Foxit Personal, Eigentum oder Rechenzentren.
- Sich an Social Engineering gegen Foxit Service Desks, Mitarbeiter oder Auftragnehmer beteiligen.
- Verstöße gegen Gesetze oder Vereinbarungen zur Entdeckung von Schwachstellen.
Veröffentlichung
Bestätigte und behobene Schwachstellen werden veröffentlicht auf:
- Unsere Seite mit Sicherheitshinweisen: https://www.foxit.com/de/support/security-bulletins.html.
- Der CVE List und relevante Plattformen für das Schwachstellenmanagement der Branche, wenn eine CVE ID zugewiesen wird.
Notiz: Bestimmte Probleme, wie z. B. Fehlkonfigurationen der Website oder Ergebnisse, die ausschließlich durch automatisierte Scan-Tools ermittelt wurden, können intern behoben werden, werden jedoch nicht als separate Hinweise veröffentlicht.