Coordinated Disclosure
Wir bitten die Sicherheitsanalysten darum, uns genügend Zeit für die Entwicklung einer Lösung zur Schließung einer Sicherheitslücke zu geben, bevor sie diese veröffentlichen. Die Coordinated Disclosure sorgt dafür, dass Kunden ein Update zur Schließung von Sicherheitslücken erhalten und dass sie während der Entwicklung des Updates nicht unnötig gefährdet werden. Nachdem die Kunden geschützt sind, kann die öffentliche Diskussion über die Sicherheitslücke der Industrie insgesamt helfen, ihre Produkte und Lösungen zu verbessern.
Wenn Beckhoff der Anbieter eines Produkts ist, das im Verdacht steht, verwundbar zu sein, kontaktieren Entdecker und Koordinatoren von Sicherheitslücken product-securityincident@beckhoff.com mit einem Sicherheitslückenbericht („vulnerability report“), vorzugsweise in englischer oder deutscher Sprache. Um die Wahrung von Vertraulichkeit wird gebeten. Mittel zum Senden verschlüsselter Nachrichten sind beschrieben unter Kontakt Beckhoff Incident Response Team.
Entdecker sind dazu aufgefordert, im Sicherheitslückenbericht alle erforderlichen Kontaktinformationen anzugeben, damit Rückfragen möglich sind. Nichtsdestotrotz werden auch anonyme Sicherheitslückenberichte berücksichtigt. Geben Sie bitte möglichst detaillierte Informationen an, damit die Fälle reproduziert werden können. Wenn der Entdecker die Entdeckung veröffentlichen möchte, wird Beckhoff versuchen, ein geeignetes vorläufiges Veröffentlichungsdatum innerhalb von 30 Tagen zu koordinieren. Der Entdecker wird vor dem Veröffentlichungsdatum über die Verfügbarkeit von Lösungen informiert und erhält das entsprechende Beckhoff Advisory. Beckhoff erhält die geplante Veröffentlichung des Entdeckers (gegebenenfalls einschließlich beantragter CVE). Dann wird ein endgültiges Veröffentlichungsdatum abgestimmt. An diesem Tag werden sowohl die Veröffentlichung des Entdeckers, als auch ein Beckhoff Advisory freigegeben. Wenn es der Entdecker wünscht und er sich an das vorliegende Verfahren hält, werden eine Danksagung, ein Verweis auf die Veröffentlichung des Entdeckers und, falls hilfreich, Informationen über die Veröffentlichung des Entdeckers in das Advisory hinzugefügt.