Y-Security berichtet identifizierte Schwachstellen, welche in unseren Forschungen und unseren Projekten gefunden werden. Wir teilen diese den Herstellern der jeweiligen Software, in der die Fehler gefunden wurden, mit. Wir sehen dieses Vorgehen als unsere Pflicht an, um das Internet zu einem sichereren Ort zu machen. Hierdurch unterstützen wir unsere Kunden ebenso bei der Entwicklung einer langfristigen Lösung ihrer Systeme und Netzwerke.

Unsere „Disclosure Policy“ ist verantwortungsvoll – wir werden den Herstellern immer ausreichend Zeit zur Beseitigung der Schwachstellen einräumen. Des Weiteren arbeiten wir, je nach Möglichkeiten, mit Herstellern zusammen, um sicherzustellen, dass die beseitigten Schwachstellen vollständig behoben wurden. Unsere Disclosure Policy nutzt die etablierte Google vulnerability disclosure policy und basiert auf den folgenden Bedingungen:

  • 90 Tagesfrist bis zur Veröffentlichung, oder früher – falls der Hersteller ein Update veröffentlich hat
  • Veröffentlichung nur an (deutschen) gesetzlichen Werktagen
  • 7 Tage Frist bis zur Veröffentlichung, wenn wir Hinweise dazu haben, dass die Schwachstelle aktiv ausgenutzt wird („0-Day“)
  • Sofortige Veröffentlichung, wenn Teile der Schwachstelle vor Veröffentlichungsdatum durch den Hersteller bekannt gemacht werden

Wir behalten uns vor in Härtefällen von den Richtlinien abzuweichen. Wir versuchen hiermit das Angriffszeitfenster für ein Ausnutzen der Sicherheitslücken zu minimieren. Unserer Meinung nach resultiert solch ein Vorgehen zu einem allgemein sicheren Internet für alle Benutzer.

Falls Sie Fragen zu unserer „Disclosure Policy“ haben, so können Sie gerne über unsere Kontakt-Seite mit uns in Verbindung treten.