Bezpečnostní zásady
Pravidla pro nahlašování bezpečnostních problémů na tomto webu a způsob, jakým s hlášeními nakládám.
Obsah kapitoly
Web ddd-v-symfony.cz je statická obsahová stránka – bez uživatelských účtů, formulářů s citlivými daty a zákaznických dat. Přesto je smysluplné mít zveřejněný způsob, jak nahlásit bezpečnostní problém: chyby v kódu šablon, problematickou závislost, či konfiguraci serveru.
A Co zahrnout do hlášení
Aby bylo možné problém ověřit a opravit, hodí se v hlášení uvést:
- popis zranitelnosti a její potenciální dopad,
- kroky k reprodukci (URL, sekvence akcí, payload),
- verzi prohlížeče nebo prostředí, ve kterém se problém projevil,
- případné návrhy na opravu, pokud máte.
B Jak se s hlášením pracuje
Po obdržení hlášení postup je následující:
- Potvrzení přijetí – co nejdříve, typicky do 72 hodin.
- Ověření a vyhodnocení – reprodukce problému a posouzení dopadu.
- Komunikace o postupu – průběžná zpráva o tom, jak se opravuje a kdy.
- Oprava a uzavření – informace o nasazené opravě a (po dohodě) zveřejnění.
C Zveřejnění problému
Standardně se uplatňuje responsible disclosure – bezpečnostní problém se zveřejňuje až po opravě, na rozumném časovém horizontu, který společně dohodneme. Smyslem je dát návštěvníkům webu čas dostat se k opravené verzi dříve, než se problém propere veřejně.