Autorisierung
Wenn Sie sich bei Ihrer Forschung nach bestem Wissen und Gewissen bemühen, diese Richtlinie einzuhalten, werden wir Ihre Forschung als autorisiert betrachten. Wir arbeiten mit Ihnen zusammen, um das Problem schnell zu verstehen und zu lösen.
Richtlinien
Unter „Forschung“ im Sinne dieser Richtlinie sind Aktivitäten zu verstehen, bei denen Sie:
- Benachrichtigen Sie uns so schnell wie möglich, nachdem Sie ein echtes oder potenzielles Sicherheitsproblem entdeckt haben.
- Verwenden Sie Exploits nur in dem Umfang, der erforderlich ist, um das Vorhandensein einer Schwachstelle zu bestätigen.
- Geben Sie uns eine angemessene Zeit, um das Problem zu lösen, bevor Sie es öffentlich bekannt geben.
- Übermitteln Sie keine große Menge an qualitativ minderwertigen Berichten.
Umfang
WAGO beschränkt nicht den Umfang für von WAGO angebotene Produkte, einschließlich Hardware, Software oder Komponenten mit digitalen Elementen. Bei Sicherheitslücken innerhalb unserer digitalen Infrastruktur wie der WAGO Website oder jeder anderen Art von Service, der von dem Unternehmen genutzt wird, wenden Sie sich bitte an unser „Cyber Defense Center“ unter der folgenden E-Mail: cyberdefense@wago.com.
Melden einer Schwachstelle
Die im Rahmen dieser Richtlinie übermittelten Informationen werden ausschließlich zu Abwehrzwecken verwendet, d. h. zur Minderung oder Behebung von Schwachstellen. Berichte können anonym übermittelt werden. Wenn Sie Kontaktinformationen weitergeben, bestätigen wir den Empfang Ihres Berichts. Wir unterstützen PGP-verschlüsselte Emails. Das PGP ist über unsere security.txt erreichbar. Bitte beachten Sie, dass E-Mails, die ohne PGP-Verschlüsselung übermittelt wurden, möglicherweise nicht berücksichtigt werden.
Was wir gern von Ihnen sehen würden
Um uns bei der Klassifizierung und Priorisierung von möglichen Schwachstellen zu unterstützen, fügen Sie bitte, wenn möglich, Folgendes in Ihren Bericht ein:
- Betroffene Version des Produkts oder der Software (Artikelnummer, Firmwareversion usw.).
- Beschreiben Sie den Ort, an dem die Schwachstelle entdeckt wurde, und die potenziellen Auswirkungen der Ausnutzung.
- Bieten Sie eine detaillierte Beschreibung der Schritte, die zur Reproduktion der Sicherheitslücke erforderlich sind (der Nachweis von Konzeptskripten oder Screenshots sind hilfreich).
- Falls verfügbar: Verwandte Dokumente der Sicherheitslücke (CVE, Ankündigungen, Versionshinweise usw.).
- Schreiben Sie uns, wenn möglich, auf Englisch.
Was Sie von uns erwarten können
Wenn Sie uns Ihre Kontaktdaten mitteilen möchten, verpflichten wir uns, uns so offen und schnell wie möglich mit Ihnen abzustimmen.
- Wir werden innerhalb einer Woche bestätigen, dass Ihr Bericht eingegangen ist.
- Unser Team analysiert den Bericht in Zusammenarbeit mit dem zuständigen Entwicklungsteam oder Partnern.
- Wir werden Sie nach bestem Wissen und Gewissen über das Ergebnis Ihrer Feststellung informieren und Ihnen so transparent wie möglich darlegen, welche Schritte wir während des Remediation-Prozesses unternehmen, einschließlich bei Problemen oder Herausforderungen, die eine Lösung verzögern können.
- Wir werden mit Ihnen zusammenarbeiten, um ein CVE zu erstellen (die von unserem Koordinationspartner CERT@VDE bereitgestellt wird) und eine angemessene Anerkennung für die Unterstützung bei der Sicherung unserer Produkte zu erhalten.
- Wenn wir die Sicherheitslücke bestätigen, informieren wir unseren Koordinationspartner cert@vde.
- Wir werden die gemeldeten Probleme öffentlich zugänglich machen, nachdem eine Lösung verfügbar ist oder veröffentlicht wurde (was immer zuerst kommt). Die Veröffentlichung der Schwachstelle erfolgt in Form eines Security-Advisories gemäß dem CSAF-2.0-Standard.
- Die Sicherheitslücke wird über unseren Koordinierungspartner cert@vde veröffentlicht.
- Wir werden einen offenen Dialog führen, um Fragen zu erörtern.
Fragen
Fragen zu dieser Richtlinie können an psirt@wago.com gesendet werden. Wir laden Sie auch ein, uns mit Vorschlägen zur Verbesserung dieser Policy zu kontaktieren.