top of page

Coordinated Vulnerability Disclosure (CVD) Policy

1. Scope

 

Diese CVD-Richtlinie gilt für alle Versionen und Komponenten von ESCRA, einschließlich Drittanbieter-Integrationen. Ziel ist es, verantwortungsvoll erhobene Schwachstellen gemeinsam sicher und möglichst zeitnah zu beheben.

2. Reporting Channels

ESCRA stellt folgende vertrauliche Meldewege bereit:

  • E-Mail: security@escra.de

  • PGP-verschlüsselt: Schlüssel-Fingerprint: BB6E9CF0A2FFC5681F2C67E9CDFBCDF70398A5D9

         Öffentlicher Schlüssel:  anzeigen  download

Langsame oder andere Kommunikationskanäle (z. B. öffentliche Issues) werden toleriert, erfordern aber ggf. Rückfrage.

 

3. Acknowledgement & Response

Wir bemühen uns, innerhalb von 5 Werktagen schriftlich zu bestätigen, dass ihr Report eingegangen ist und bearbeitet wird. (certcc.github.io, openssf.org)

4. Coordination & Fixing

  • Die Identität des Reporters wird vertraulich behandelt oder auf Wunsch anonymisiert.

  • Wir koordinieren eng mit euch, um technische Details zu klären.

  • Nach Analyse erfolgt die Erstellung eines Patches oder Updates, idealerweise innerhalb von 30 Tagen.

 

5. CVE & Disclosure

  • Sobald ein Fix vorliegt (oder eine akzeptierte Sonderlösung), beantragen wir ggf. eine CVE-ID.

  • Die öffentliche Offenlegung (z. B. Advisory) erfolgt frühestens 14 Tage nach Fix-Veröffentlichung, sofern keine Exploits bekannt sind oder andere Risiken bestehen. (CISA)

 

6. Safe Harbor

Reporter handeln in gutem Glauben und dürfen sich darauf verlassen, dass:

  • Keine rechtlichen Schritte gegen sie eingeleitet werden, sofern sie die Richtlinien beachten. (certcc.github.io)

  • Kein NDA oder kommerzieller Vertrag als Voraussetzung zur Meldung verlangt wird.

 

7. Scope Management

 

Unsere CVD umfasst:

In-Scope:

  • Kernkomponenten

  • API

  • Webinterfaces

  •  Bibliotheken

  • Deployment-Vorlagen

Nicht-In-Scope:

  • Deployments auf fremden Systemen

  • physische Security-Komponenten

 

8. Communication & Transparency

  • Wir antworten innerhalb von 5 Werktagen.

  • Wir informieren Reporter regelmäßig über Fortschritte und senden Patches zur Prüfung.

  • Die finale Offenlegung erfolgt transparent via Advisory oder Blog-Post.

 

9. Timeline

  • 5 Tage: Eingangsbestätigung

  • 30 Tage: Patch oder Mitigation

  • 14 Tage später: Öffentliche Disclosure (sofern vertretbar)

 

10. Alternatives & Escalation

Sollte eine Einigung oder Kommunikation scheitern, können beide Parteien einen Neutralen Dritten (z. B. CERT/CC) zur Unterstützung hinzuziehen. (certcc.github.io, ntia.doc.gov, The GitHub Blog, CISA)

 

11. Versionierung

  • Policy-Version: 1.0

  • Letzte Aktualisierung: 24. Juli 2025

  • Updates werden hier dokumentiert und mit dem Datum versehen.

bottom of page