- Inhalte in
/.well-known/security.txt des curl Open-Source-Projekts
- Sicherheitsprobleme, die in den eigenen Produkten gefunden wurden, werden entgegengenommen, für gemeldete Probleme werden jedoch keine finanziellen Belohnungen oder sonstige Vergünstigungen gewährt
- Stattdessen werden bestätigte Probleme mit einem Dank und einer Nennung der Verdienste in der Dokumentation gewürdigt
- Wer mit schlechten oder sinnlosen Meldungen Zeit verschwendet, wird mit öffentlicher Verspottung und einer Sperre gewarnt
- Verwendet das security.txt-Standardformat, das die Kernaussagen der Richtlinie zur Sicherheitsmeldung kompakt zusammenfasst
Sicherheitsmeldepolitik des curl-Projekts
- Das curl Open-Source-Projekt nimmt Meldungen zu Sicherheitsproblemen in Produkten entgegen, die vom curl-Projekt erstellt wurden
- Meldungen können per E-Mail (security@curl.se) oder über die GitHub-Seite für Security Advisories eingereicht werden
- Es wird ausdrücklich festgehalten, dass es keine Vergütungspolitik gibt; finanzielle oder sonstige Formen der Belohnung werden nicht angeboten
- Stattdessen gibt es für bestätigte Probleme Dank und Anerkennung in den entsprechenden Dokumenten
Warnung vor ungeeigneten Meldungen
- Das Projekt erklärt ausdrücklich: „Wenn Sie uns mit nutzlosen Meldungen Zeit stehlen, werden wir Sie sperren und öffentlich verspotten.“
- Das ist eine starke Warnformulierung, um unprofessionelle oder unbegründete Meldungen zu verhindern
- Sie unterstreicht die Bedeutung von qualitativ hochwertigen Meldungen und einer verantwortungsvollen Disclosure-Kultur
Verfahren zur Sicherheitsmeldung und offizielle Informationen
Noch keine Kommentare.