Политика раскрытия информации об уязвимостях

Цель

Настоящая политика определяет порядок приема, регистрации, проверки, устранения и координированного раскрытия информации об уязвимостях в программных продуктах и сервисах Фирмы «1С».

Область действия

Политика распространяется на программные продукты, веб-сервисы, API, мобильные и desktop-приложения, а также инфраструктурные компоненты, прямо относящиеся к предоставлению указанных продуктов и сервисов.

Мы оцениваем каждую уязвимость в индивидуальном порядке с учетом CVSS 3.1 и нашей собственной экспертизы. Критичность уязвимости может быть как повышена, так и понижена в зависимости от потенциального ущерба при реализации атаки и сложности ее эксплуатации.

Канал приема сообщений

Официальный канал приема: vul_report@1c.ru

Рекомендуемый формат темы письма: [VAL_REPORT] Название продукта / версия / краткое описание.

Состав сообщения

название продукта, версия, окружение;
описание уязвимости и предполагаемый сценарий эксплуатации;
шаги воспроизведения;
PoC, скриншоты, логи, примеры запросов и ответов;
оценка влияния и контактные данные для обратной связи.

Правила проведения исследования

не нарушать доступность сервисов;
не получать, не изменять и не удалять данные пользователей;
проводить тестирование только в отношении собственных учётных записей и данных либо с явного разрешения владельца;
не использовать социальную инженерию и фишинг;
не использовать найденную уязвимость в целях, отличных от подтверждения её наличия (в том числе для извлечения выгоды или нанесения ущерба);
не публиковать сведения об уязвимости до согласованного срока раскрытия;
прекращать тестирование после подтверждения наличия проблемы и уведомления Фирмы «1С»;
при нахождении нескольких ошибок просьба готовить отчеты по каждой из них в отдельности.

Недопустимые действия

DDoS и иные действия, влияющие на доступность;
массовое сканирование без согласования;
доступ к данным третьих лиц;
модификация, удаление, шифрование данных;
размещение вредоносного кода;
вымогательство вознаграждения под угрозой публикации или жалоб.

Сроки обработки

подтверждение получения – 2 рабочих дня;
первичная оценка важности и срочности с учетом загруженности – до 3 рабочих дней;
решение по воспроизводимости ошибки и ее критичности – 10 рабочих дней;
план исправления – по классу критичности найденной ошибки;
информирование заявителя о статусе рассмотрения – раз в 2 недели.

Вознаграждение

Фирма «1С» не обязуется выплачивать вознаграждение за сообщения об уязвимостях, если иное прямо не установлено отдельной программой bug bounty. Наличие сообщения об уязвимости не создает обязательства Фирмы «1С» по выплате денежных средств.

Координированное раскрытие

Фирма «1С» поддерживает координированное раскрытие информации об уязвимостях после проверки сообщения, подготовки исправления или компенсирующих мер, уведомления затронутых клиентов при необходимости и согласования даты публикации.

Права Фирмы «1С»

запрашивать дополнительные материалы;
отказать в рассмотрении неполных или недобросовестных сообщений;
прекратить коммуникацию вне официального канала;
передать материалы в юридическую службу при признаках вымогательства, неправомерного доступа или иного нарушения закона.

Заключительные положения

Фирма «1С» обязуется оперативно устранять уязвимости. Однако мы признаем, что публичное раскрытие уязвимости при отсутствии готовых корректирующих мер скорее увеличивает, чем снижает риск. Поэтому мы требуем, чтобы исследователь воздерживался от распространения информации об обнаруженных уязвимостях в течение 90 календарных дней после получения нашего подтверждения Вашего сообщения. Если вы считаете, что другим необходимо знать об уязвимости, прежде чем мы примем меры по ее устранению, мы просим вас заранее проконсультироваться с нами.

Участие в Программе не создаёт между исследователем и Фирмой «1С» трудовых или гражданско-правовых отношений.

Актуальная версия настоящей Политики всегда доступна на официальном сайте Фирмы «1С» по адресу: https://v8.1c.ru/vul_policy/