BlackBerry Koordinierte Politik zur Offenlegung von Schwachstellen
BlackBerry setzt sich für die kontinuierliche Verbesserung der Sicherheit seiner Produkte ein und ist bestrebt, potenzielle Schwachstellen proaktiv zu ermitteln und zu beseitigen, bevor unsere Produkte auf den Markt gebracht werden.
Trotz unserer besten Bemühungen treten jedoch in unseren Produkten und Websites gelegentlich Schwachstellen auf. Wir erkennen diese Schwachstellen an und arbeiten mit den Finderinnen und Finder zusammen, die sie entdecken und an BlackBerry melden, damit wir diese Schwachstellen beheben können.
Um mit diesen Partnern effektiv zusammenzuarbeiten, haben wir diese BlackBerry Coordinated Vulnerability Disclosure Policy (Richtlinie zur koordinierten Offenlegung von Schwachstellen) dokumentiert, um die Zusammenarbeit und die Meldung von Schwachstellen durch externe Parteien zu fördern.
Zu den wichtigsten Erkenntnissen aus dieser Politik gehören:
- Das Verfahren zur Meldung von Schwachstellen umfasst derzeit unterstützte Produkte.
- BlackBerry arbeitet in gutem Glauben mit Finderinnen und Finder zusammen, die Schwachstellen nach einigen Standardrichtlinien testen und melden.
- BlackBerryProduct Security Incident Response Team (BBPSIRT) wird mit den Findern zusammenarbeiten, um einen Weg für eine koordinierte Offenlegung der Schwachstelle zu finden.
- Im Falle der Nichteinhaltung der BlackBerry Coordinated Vulnerability Disclosure Policy und aller anwendbaren Gesetze behält sich BlackBerry das Recht vor, alle anwendbaren Rechtsmittel zu ergreifen.
Umfang
Der Prozess zur Meldung von Schwachstellen umfasst Produkte, die derzeit von BlackBerry, unseren Tochtergesellschaften und unserer Website unterstützt werden.
Um festzustellen, ob ein BlackBerry Produkt unterstützt wird, lesen Sie bitte den BlackBerry Software Support Lifecycle.
Wer sollte diese Richtlinie lesen?
Diese Richtlinie sollte von allen Finderinnen und Finder gelesen werden, die Schwachstellen in von BlackBerry unterstützten Produkten oder BlackBerry Websites entdecken, testen und melden.
Was wir von den FinderInnen erwarten
Wir arbeiten in gutem Glauben mit Finderinnen und Finder zusammen, die Schwachstellen gemäß den folgenden Richtlinien testen und einreichen.
BlackBerry unterstützt in vollem Umfang Sicherheitstests, die:
- in einer Weise durchgeführt wird, die die Sicherheit und die Privatsphäre aller unserer Kunden und Partner schützt
- Einhaltung der Integrität in Bezug auf alle geltenden Gesetze und Vorschriften für Sicherheitstests
- respektiert und hält sich an die bestehenden Vereinbarungen mit BlackBerry und an die vertraglichen Bestimmungen, die die Rechte am geistigen Eigentum von BlackBerrybetreffen
- Forschung nur innerhalb des in dieser Richtlinie festgelegten Rahmens durchführt
- Stellt BlackBerry zum Zeitpunkt der Bekanntgabe alle Einzelheiten des Sicherheitsproblems zur Verfügung.
- Gibt BlackBerry die Möglichkeit, Abhilfemaßnahmen zu ergreifen, bevor die Schwachstelle öffentlich bekannt gemacht oder an Dritte weitergegeben wird.
Wie man eine Schwachstelle einreicht
Wenn Sie vermuten, dass Sie eine Sicherheitslücke in einem Produkt oder auf einer Website von BlackBerry entdeckt haben, teilen Sie uns dies bitte mit, indem Sie sich an das BlackBerry PSIRT (BBPSIRT) unter secure@blackberry.com wenden.
Wenn Sie eine Schwachstelle melden, geben Sie bitte alle Einzelheiten an.
Dazu gehören:
- Den Namen, die Version und die Konfigurationsdetails des betroffenen Produkts,
- Die Namen aller Finder, die an der Entdeckung der Schwachstelle beteiligt waren,
- Eine Beschreibung der Schwachstelle und der Umgebung, in der sie entdeckt wurde,
- Detaillierte Schritte, um die Schwachstelle zu reproduzieren, und
- Screenshots oder Video zur Demonstration des Proof of Concept (PoC)
Was die Finder vom BBPSIRT erwarten können
Das BBPSIRT wird:
- Innerhalb von 3 nordamerikanischen Arbeitstagen bestätigen Sie den Finderbericht, eröffnen einen Fall in unserem Fallverwaltungssystem und weisen einen Fallmanager zur Verfolgung der Untersuchung zu.
- Vollständige Untersuchung des ersten Hinweises auf eine Sicherheitslücke in einem derzeit unterstützten Produkt oder einer Website von BlackBerry
- Überprüfen Sie die gemeldete Schwachstelle. In diesem Stadium können wir den Finder kontaktieren, um zusätzliche Informationen zu erhalten
- Kommunikation mit dem Finder über den Case Manager, um das Vorhandensein der Schwachstelle und ggf. den zugehörigen Plan zur Behebung zu bestätigen
- nach Behebung der Schwachstelle dem Finder die Einzelheiten mitteilen und
- Geben Sie den Finder auf unserer Website öffentlich bekannt. Das BBPSIRT wird dem/den Finder(n), der/die in der ursprünglichen Meldung aufgeführt ist/sind, oder dem/den Finder(n), mit dem/denen das BBPSIRT direkt zusammenarbeitet, um die Schwachstelle zu beheben, Anerkennung zollen.
BBPSIRT Coordinated Disclosure and Vulnerability Publication
Das BBPSIRT gibt Sicherheitshinweise für die unterstützten Produkte von BlackBerry heraus und arbeitet mit den FinderInnen zusammen, um den besten Weg für eine koordinierte Bekanntgabe der Schwachstelle zu finden, was auch die Herausgabe eines Sicherheitshinweises für die unterstützten Produkte von BlackBerry beinhalten kann. Sicherheitshinweise werden öffentlich bekannt gegeben und auf unserer Website veröffentlicht.
Hinweise werden veröffentlicht, sobald für unterstützte Produktversionen Software-Updates zur Verfügung stehen, die die Schwachstelle beheben. Für bestimmte Produkte, wie z.B. QNX® RTOS, wird ein privater Hinweis an unsere Kunden gegeben, bevor der Hinweis öffentlich gemacht und auf unserer Website veröffentlicht wird. Damit soll sichergestellt werden, dass Kunden, die diese Produkte verwenden, die Möglichkeit haben, unsere Sicherheitslückenbehebungen in ihre Software zu integrieren und ihre eigenen Software-Wartungsversionen herauszugeben.
Rechtlicher Hinweis
BlackBerry nimmt seine Verpflichtung, die Sicherheit seiner Produkte zu gewährleisten, sehr ernst und erkennt und begrüßt den enormen Wert, den die Sicherheitsforschungsgemeinschaft in diese Bemühungen einbringt, und wird sich stets bemühen, mit allen, die Schwachstellen gemäß den festgelegten Richtlinien von BlackBerry und der BlackBerry Coordinated Vulnerability Disclosure Policy melden, in gutem Glauben zu handeln.
Bei der Durchführung von Sicherheitsforschungsaktivitäten in Bezug auf BlackBerry Produkte und Dienstleistungen, einschließlich der Einreichung eines BlackBerry Sicherheitslückenberichts, müssen Sie die BlackBerry Coordinated Vulnerability Disclosure Policy und alle geltenden Gesetze einhalten. Falls erforderlich und/oder nach einer Untersuchung durch BlackBerry festgestellt wird, dass Sie gegen diese Richtlinie oder ein anwendbares Gesetz verstoßen haben, behält sich BlackBerry das Recht vor, alle anwendbaren Rechtsmittel zu ergreifen, einschließlich der zivil- und/oder strafrechtlichen Rechtsmittel, je nach Gerichtsbarkeit.
BlackBerry behält sich ferner das Recht vor, diese Richtlinie von Zeit zu Zeit ohne Vorankündigung zu aktualisieren, um sicherzustellen, dass sie relevant bleibt und den sich ändernden Technologien, geltenden Gesetzen und BlackBerry Geschäftspraktiken entspricht.
Diese Version der BlackBerry Coordinated Vulnerability Disclosure Policy (Richtlinie zur koordinierten Offenlegung von Schwachstellen) ersetzt alle früheren Versionen, und alle Aspekte dieser Richtlinie können ohne Vorankündigung geändert werden, ebenso wie Ausnahmen von Fall zu Fall. BlackBerry wird sich bemühen, alle Ebenen des Engagements zu koordinieren, kann aber kein bestimmtes Niveau der Reaktion garantieren.