Foxit-beleid voor meldingen van kwetsbaarheden
Foxit neemt beveiliging zeer serieus en streeft ernaar de veiligste oplossingen en diensten in de sector te bieden om klantgegevens en systemen veilig te houden. Bij Foxit onderzoeken we alle ontvangen kwetsbaarheidsrapporten en implementeren we de beste handelwijze om onze klanten te beschermen. Foxit is van mening dat het werken met ervaren beveiligingsonderzoekers zwakke punten in elke technologie kan identificeren.
Contactgegevens
Als u denkt dat u een beveiligingsprobleem heeft gevonden in een product of dienst van Foxit, neem dan contact met ons op:
- E-mail: [email protected]
We moedigen gecodeerde communicatie aan voor gevoelige rapporten.
Domein
Wij accepteren kwetsbaarheidsrapporten voor:
- Alle door Foxit ontwikkelde producten en diensten worden momenteel ondersteund en gedistribueerd.
- Webdiensten en platforms beheerd door Foxit (bijv. foxit.com).
Wij accepteren geen meldingen van kwetsbaarheden voor:
- Software of plug-ins van derden die niet door Foxit zijn ontwikkeld.
- Kwetsbaarheden in services van derden of bibliotheken die onafhankelijk door anderen worden gebruikt.
- Producten die het einde van hun levensduur hebben, worden niet langer ondersteund.
Foxit, als een CVE Numbering Authority (CNA), mag toewijzen CVE IDs voor kwetsbaarheden die van invloed zijn op producten en diensten binnen dit toepassingsgebied. Als er een kwetsbaarheid wordt ontdekt in een component van een derde partij die is ingebed in een Foxit product, zal Foxit samenwerken met de upstream-leverancier voor verantwoorde afhandeling en herstel, maar heeft geen controle over hun CVE toewijzing of openbaarmakingstijdstip.
Wat opnemen in een rapport
Om ons te helpen rapporten efficiënt te verwerken, verzoeken wij u het volgende op te nemen:
- De Foxit betrokken producten of diensten.
- Beschrijving van het vermoedelijke beveiligingsprobleem en de impact ervan.
- Proof-of-concept (PoC) of ondersteunend bewijsmateriaal, indien beschikbaar.
- Elk gepland openbaarmakingsschema, indien van toepassing.
Antwoord Proces
Na ontvangst van een kwetsbaarheidsrapport zullen wij:
- Bevestig de ontvangst binnen 5 werkdagen.
- Valideer en beoordeel de impact van de kwetsbaarheid.
- Houd de verslaggever op de hoogte van de voortgang en de mitigatieplannen.
Openbaring Tijdlijn
We volgen het principe van gecoördineerde openbaarmaking van kwetsbaarheden:
- Bevestigde Foxit kwetsbaarheden zullen pas openbaar worden gemaakt nadat de bijbehorende oplossing aan klanten is vrijgegeven.
- Er wordt interne tracking bijgehouden voor alle bevestigde kwetsbaarheden om het herstel efficiënt te kunnen beheren.
- Waar nodig kunnen we ook informatie over bevestigde kwetsbaarheden delen met relevante kwetsbaarheidsbeheergemeenschappen om ervoor te zorgen dat het probleem correct wordt geregistreerd en gecommuniceerd.
- Voor kwetsbaarheden die zijn geïdentificeerd in software van derden die wordt gebruikt in Foxit producten, zullen we de betrokken leverancier op de hoogte stellen en een gecoördineerd herstel ondersteunen, maar we hebben geen controle over de timing van de openbaarmaking ervan.
Erkenning en naamsvermelding
Als u dat wenst, zullen wij uw bijdrage vermelden in onze beveiligingsadviezen. Als alternatief respecteren wij verzoeken om anonimiteit.
Afhankelijk van de aard van de kwetsbaarheid kunnen wij op onze website krediet aanbieden.
Opmerking: Erkenning verwijst naar het erkennen van uw bijdrage, en Attributie verwijst naar het publiekelijk benoemen van de onderzoeker.
Veilige haven
Foxit zal geen juridische stappen ondernemen tegen personen die:
- Voer beveiligingsonderzoek te goeder trouw uit.
- Volg de principes van verantwoorde openbaarmaking.
- Voorkom ongeoorloofde gegevenstoegang, serviceonderbrekingen of privacyschendingen.
Richtlijnen voor verantwoorde openbaarmaking
Om ons te helpen kwetsbaarheden effectief en verantwoord aan te pakken, vragen we onderzoekers vriendelijk om:
- Geef Foxit een redelijke hoeveelheid tijd om het gemelde probleem te onderzoeken en op te lossen voordat u het openbaar of met een derde partij deelt. Wij streven ernaar om kritieke problemen zo snel mogelijk op te lossen.
- Zorg ervoor dat u acties vermijdt die de privacy kunnen schenden, gegevens kunnen beschadigen of de services van Foxit kunnen onderbreken/verslechteren.
Verboden activiteiten
De volgende acties zijn ten strengste verboden tijdens beveiligingsonderzoek:
- Het uitvoeren van activiteiten die een negatieve impact kunnen hebben op Foxit of zijn gebruikers (bijvoorbeeld spam, brute force, denial of service).
- Toegang krijgen tot, of proberen toegang te krijgen tot, vernietigen of corrumperen, proberen te vernietigen of corrumperen, gegevens of informatie die niet uw eigendom is.
- Het uitvoeren van fysieke of elektronische aanvallen op Foxit personeel, eigendommen of datacentra.
- Social engineering plegen tegen elke Foxit servicedesk, medewerker of aannemer.
- Het overtreden van wetten of het schenden van overeenkomsten om kwetsbaarheden te ontdekken.
Publicatie
Bevestigde en verholpen kwetsbaarheden worden gepubliceerd op:
- Onze beveiligingsadviespagina: https://www.foxit.com/nl/support/security-bulletins.html.
- De CVE List en relevante platforms voor kwetsbaarheidsbeheer in de sector wanneer een CVE ID wordt toegewezen.
Opmerking: Bepaalde problemen, zoals verkeerde configuraties van de site of bevindingen die uitsluitend door geautomatiseerde scantools worden geïdentificeerd, kunnen intern worden aangepakt, maar zullen niet als afzonderlijk advies worden gepubliceerd.