Bug bounty icon

Devolutions Security
Bug Bounty-Programm

Sysadmin bug

Devolutions Inc. ist bestrebt, bei der Entwicklung und Bereitstellung von Lösungen außergewöhnliche Sorgfalt walten zu lassen, um Bedrohungen zu verhindern und abzuschwächen, die sich negativ auf die Daten unserer Kunden und auf unsere Fähigkeit auswirken könnten, sichere, zuverlässige und regelkonforme Produkte und Dienste anzubieten. Um dieses wichtige Ziel zu erreichen, setzen wir branchenführende Rahmenrichtlinien, Standards, Kontrollen, Prozesse und bewährte Verfahren ein, einschließlich unseres Bug Bounty-Programms.

Über das Programm

Transparenz ist ein zentraler Grundwert bei Devolutions, denn sie fördert gesunde Beziehungen, schafft Vertrauen und sorgt für eine Kultur der Offenheit, Verbesserung und Innovation. Unser Bug Bounty-Programm, das auf unserem Engagement für Transparenz beruht, ermutigt Forschende, unsere Produkte „anzugreifen und zu knacken“, damit wir proaktiv Schwachstellen und Programmierfehler beheben können.

Bitte beachten Sie, dass die Teilnahme an unserem Bug Bounty-Programm derzeit nur auf Einladung möglich ist.

Verantwortungsvolle Offenlegung

Wir ermutigen Forschende und Kunden ständig, erkannte Schwachstellen zu melden. Um unsere Kunden besser zu schützen, bleiben die Meldungen vertraulich, bis die Schwachstellen bestätigt, behoben und von Devolutions für die Produktion freigegeben sind. Wir sind bestrebt, Schwachstellen innerhalb eines angemessenen und branchenüblichen Zeitrahmens zu beheben.

Ein Sicherheitsproblem melden

Obwohl wir auf die Sicherheit unserer Produkte achten, kann die sich schnell ändernde Art und Komplexität der Sicherheit unsere Software oder die unterstützende Infrastruktur versehentlich Schwachstellen aussetzen. Wenn Sie eine solche Schwachstelle entdecken, senden Sie uns bitte Ihren Bericht an security@devolutions.net. Der Bericht sollte folgende Dinge enthalten:

  • Proof-of-Concept-Code und relevante Screenshots, die uns helfen, den Befund zu bestätigen und zu reproduzieren
  • Darstellung möglicher Auswirkungen von Missbrauch auf unser Unternehmen und/oder unsere Kunden
  • Vorschlag für eine Lösung, falls möglich und anwendbar

Lassen Sie uns nach dem Einsenden einen angemessenen Zeitraum, um Ihnen eine Rückmeldung zu geben. Unser Sicherheitsteam muss:

  • die in Ihrem Bericht beschriebene Schwachstelle reproduzieren und bestätigen.
  • einen Schweregrad gemäß CVSS 3.1 festlegen.
  • die in Ihrem Bericht enthaltenen Empfehlungen abwägen und gemeinsam mit den zuständigen Teams einen Aktionsplan erstellen.
  • mit dem Berichtenden in Verbindung bleiben, bis der Fall gelöst ist.

Wir bitten darum, den Bericht und seinen Inhalt vertraulich zu behandeln, bis die entsprechenden Korrekturmaßnahmen in der Produktion freigegeben sind. Bitte beachten Sie auch, dass die missbräuchliche Ausnutzung einer gemeldeten Schwachstelle zu illegalen, böswilligen oder sonstigen unangemessenen Zwecken zu einer strafrechtlichen Verfolgung des Meldenden führen und eine zivil- oder strafrechtliche Haftung nach sich ziehen kann. Eine Handlung gilt als missbräuchlich oder unangemessen, wenn sie dazu dient, kundenbezogene oder interne vertrauliche Informationen in unangemessener oder unverhältnismäßiger Weise zu kompromittieren, oder ein anderes Ziel verfolgt als den Nachweis einer Schwachstelle.

Sysadmin Gift

Belohnungen

Forschende werden für die Meldung von Schwachstellen* auf drei wichtige Arten belohnt:

1

Sobald eine Schwachstelle behoben und ein Patch für die Produktion freigegeben ist, können die Forschenden ihre Entdeckung und ihren Beitrag in ihrem Blog oder auf ihren Social-Media-Seiten veröffentlichen. Dies erhöht ihr Profil und ihr Ansehen in der IT- und IT-Sicherheits-Community und kann ihr berufliches Fortkommen fördern.

2

Wir bieten finanzielle Belohnungen** auf der Grundlage des Schweregrads jeder gemeldeten Schwachstelle unter Verwendung des CVSS 3.1-Standards. Für Schwachstellen mit hohem Risiko (z. B. hoch ausnutzbar/kritisch) können Forschende bis zu 1.500,00 $ (USD) pro Schwachstelle verdienen.

3

Von Zeit zu Zeit können wir den teilnehmenden Forschenden auch Waren der Marke Devolutions anbieten.

*Eine Schwachstelle ist eine Lücke oder ein Schwachpunkt in der Anwendung, bei dem es sich um einen Designfehler oder einen Implementierungsfehler handeln kann, der es einem Angreifer ermöglicht, den Stakeholdern einer Anwendung Schaden zuzufügen. Zu den Stakeholdern gehören der Eigentümer der Anwendung, die Nutzer der Anwendung und andere Entitäten, die auf die Anwendung angewiesen sind.

**Die Auszahlungsbeträge variieren je nach Anzahl der Schwachstellen oder betroffenen Komponenten sowie der Gesamtqualität des Berichts.

So melden Sie sich an

Derzeit ist die Teilnahme an unserem Bug Bounty-Programm nur auf Einladung möglich. Die Codes für die Einladung werden Sicherheitsforschenden und Kunden im Laufe des Jahres auf verschiedenen Veranstaltungen (z. B. Hackfest, NorthSec usw.) angeboten. Wenn Sie Ihren Code für die Einladung erhalten haben, schicken Sie uns bitte eine E-Mail (mit Angabe Ihres Codes) an security@devolutions.net, um Anweisungen für die Anmeldung zu erhalten.

Mit Ihrer Anmeldung zu unserem Bug Bounty-Programm ermächtigen Sie uns, mit Ihnen per E-Mail zu kommunizieren, um auf Ihre Eingaben, Wünsche oder Anfragen zu antworten sowie für andere Zwecke, die mit der Verwaltung des Programms oder Ihrer Teilnahme am Programm zusammenhängen.

Sie möchten einen Fehler melden oder mehr über das Programm erfahren?

Dann kontaktieren Sie bitte das Security-Team, um am geschlossenen Bug Bounty-Programm von Devolutions teilzunehmen!

Phil presenting