Dieses Projekt stellt Infrastruktur- und Gateway-Komponenten bereit.
Sicherheitsrelevante Fehler können Auswirkungen auf Integrität, Verfügbarkeit oder Vertrauensgrenzen haben.
Dieses Dokument beschreibt den Umgang mit gemeldeten Sicherheitsproblemen.
Da es sich um eine Referenz- und Kernimplementierung handelt, gilt:
- Es gibt keine garantierte Langzeitunterstützung für alte Versionen.
- Sicherheitsrelevante Fixes beziehen sich primär auf:
- die aktuelle Hauptversion
- den aktuellen Stand des Hauptbranches
Snapshots sind per Definition read-only und werden nicht nachträglich verändert.
Bitte melde sicherheitsrelevante Probleme verantwortungsvoll und nicht öffentlich.
- E-Mail: [SECURITY-KONTAKT-HIER-EINTRAGEN]
Bitte füge – soweit möglich – folgende Informationen bei:
- betroffene Komponenten oder Dateien
- Reproduktionsschritte oder Proof of Concept
- Einschätzung der möglichen Auswirkungen
Nach Eingang einer Meldung:
- wird das Problem geprüft
- wird eine Einschätzung vorgenommen, ob es sich um ein Sicherheitsproblem handelt
- erfolgt eine Behebung, sofern angemessen
Eine koordinierte Offenlegung kann vereinbart werden.
Es besteht kein Anspruch auf:
- feste Reaktionszeiten
- Vergütung
- öffentliche Nennung
Nicht als Sicherheitsproblem gelten:
- Designentscheidungen, die explizit dokumentiert sind
- fehlende Features
- bewusst nicht implementierte Schutzmechanismen, sofern sie nicht als vorhanden behauptet werden
Dieses Projekt übernimmt keine Verantwortung für:
- Fehlkonfigurationen in Integrationen
- unsachgemäße Nutzung
- Annahmen außerhalb der dokumentierten Garantien