Richtlinie zur Offenlegung von Schwachstellen

1. Einleitung

Bei linqi haben die Sicherheit unserer Produkte und der Schutz der Daten unserer Kunden höchste Priorität. Wir schätzen die Arbeit der unabhängigen Sicherheitsforschungs-Community sehr. Wenn Sie glauben, eine Sicherheitslücke in einem unserer Produkte gefunden zu haben, bitten wir Sie, uns dies umgehend mitzuteilen. Wir werden allen legitimen Meldungen nachgehen und unser Bestes tun, um das Problem schnell zu beheben.

2. Gültigkeitsbereich (Scope)

Diese Richtlinie gilt ausschließlich für Software-Schwachstellen in unseren eigenen Softwareprodukten.

Im Gültigkeitsbereich (In Scope):

linqi Prozessplattform

Außerhalb des Gültigkeitsbereichs (Out of Scope):
Bitte beachten Sie, dass die folgenden Punkte ausdrücklich vom Testen ausgeschlossen sind:

Unsere Unternehmenswebsite https://linqi.de/
Anwendungen oder Dienste von Drittanbietern, die nicht uns gehören oder von uns gewartet werden
Volumetrische Angriffe / Denial-of-Service-Angriffe (DoS/DDoS)
Social Engineering (z. B. Phishing) oder physische Angriffe auf unsere Mitarbeiter oder unsere Infrastruktur

3. Wie Sie eine Schwachstelle melden können

Wenn Sie ein Sicherheitsproblem entdeckt haben, senden Sie uns bitte direkt eine E-Mail an:

security [at] linqi [punkt] de

Um sensible Informationen zu schützen, empfehlen wir Ihnen dringend, Ihre E-Mail mit unserem öffentlichen PGP-Schlüssel zu verschlüsseln:

Fingerabdruck (Fingerprint): 68D9 E28D 4D41 2D6D
Link zum öffentlichen Schlüssel: Download Public Key

Bitte fügen Sie Ihrer Meldung die folgenden Informationen bei:

Eine klare Beschreibung der Schwachstelle und ihrer möglichen Auswirkungen.
Das betroffene Produkt und die genaue Versionsnummer.
Detaillierte Schritte zur Reproduktion des Problems (ein Proof of Concept, Screenshots oder Code-Snippets sind sehr willkommen).

4. Was Sie von uns erwarten können (SLA)

Wenn Sie uns eine Schwachstelle melden, verpflichten wir uns zu Folgendem:

Wir bestätigen den Eingang Ihrer Meldung innerhalb von 5 Werktagen.
Wir nennen Ihnen einen geschätzten Zeitrahmen für die Behebung der Schwachstelle.
Wir benachrichtigen Sie, sobald die Schwachstelle behoben wurde.

5. Rechtssicherheit (Safe Harbor)

Alle Aktivitäten, die in Übereinstimmung mit dieser Richtlinie durchgeführt werden, betrachten wir als autorisiertes Handeln. Wir werden keine rechtlichen Schritte gegen Sie einleiten oder die Strafverfolgungsbehörden um eine Untersuchung bitten, solange Sie sich an diese Vorgaben halten. Sollten Dritte rechtliche Schritte gegen Sie im Zusammenhang mit Aktivitäten einleiten, die unter diese Richtlinie fallen, werden wir uns dafür einsetzen, klarzustellen, dass Ihre Handlungen in Übereinstimmung mit dieser Richtlinie stattfanden.

6. Anerkennung & Bug Bounty

Derzeit betreibt linqi kein bezahltes Bug-Bounty-Programm und bietet keine finanzielle Vergütung für Schwachstellenmeldungen an. Wir glauben jedoch daran, gute Arbeit zu würdigen. Führt Ihre Meldung zu einem validen Sicherheitsupdate, erwähnen wir Ihren Beitrag gerne öffentlich in unseren Security Advisories und weisen Ihnen die Credits im resultierenden CVE-Eintrag zu (es sei denn, Sie möchten lieber anonym bleiben).

7. Öffentliche Bekanntgabe (Public Disclosure) & Advisories

Sobald eine Schwachstelle verifiziert wurde und ein Patch oder eine Entschärfung (Mitigation) für unsere Kunden zur Verfügung steht, veröffentlichen wir ein Security Advisory auf unserer Hilfeseite und erstellen einen entsprechenden CVE-Eintrag. Wir sind bestrebt, den Zeitrahmen der öffentlichen Bekanntgabe mit dem Melder abzustimmen, um sicherzustellen, dass unsere Nutzer ihre Systeme sicher aktualisieren können.

1. Einleitung​

2. Gültigkeitsbereich (Scope)​

3. Wie Sie eine Schwachstelle melden können​

4. Was Sie von uns erwarten können (SLA)​

5. Rechtssicherheit (Safe Harbor)​

6. Anerkennung & Bug Bounty​

7. Öffentliche Bekanntgabe (Public Disclosure) & Advisories​