ScaricaProva gratuita

Politica di divulgazione delle vulnerabilità

In Checkmk ci impegniamo a fornire software e hardware che offrano la migliore qualità ai nostri utenti e clienti. Il team di sicurezza di Checkmk contribuisce a questo obiettivo impegnandosi a garantire la sicurezza dei nostri prodotti, sia durante il loro sviluppo che dopo il loro rilascio. A tal fine, effettuiamo continuamente scansioni e test del nostro software e hardware per identificare potenziali vulnerabilità e mitigarle il prima possibile.

Oltre ai nostri sforzi, ci affidiamo a fonti esterne che ci aiutano a identificare le vulnerabilità dei nostri prodotti. Pertanto, incoraggiamo tutti, compresi i ricercatori di sicurezza, i clienti, i partner, i gruppi CERT (Computer Emergency Response Teams) e qualsiasi altra fonte, a segnalare le vulnerabilità identificate.

Inoltre, rispettiamo la volontà dei segnalanti di mantenere l'anonimato e accogliamo con favore le segnalazioni anonime. In cambio, incoraggiamo fortemente la divulgazione coordinata delle vulnerabilità e chiediamo gentilmente ai segnalanti di mantenere la riservatezza delle vulnerabilità trovate fino a quando non saranno state risolte. Ci proponiamo di risolvere le vulnerabilità segnalate entro un periodo di 90 giorni.

Processo

Se individuate una vulnerabilità in una delle nostre risorse (elencate nella sezione Ambito di applicazione qui sotto), inviate le vostre scoperte in inglese o tedesco via e-mail a security@checkmk.com. Per ciascuna delle scoperte inviate è necessario includere le seguenti informazioni:

  • Descrizione della vulnerabilità identificata, tra cui:
    • Il tipo di vulnerabilità
    • Il/i componente/i vulnerabile/i
    • Un esempio di come un attacco informatico può sfruttare questa vulnerabilità

Più dettagli includete nella vostra segnalazione, più facile e veloce sarà per il nostro team di sicurezza il triage e la verifica dell'esistenza della vulnerabilità.

  • Un exploit di prova che sfrutta la vulnerabilità identificata. Sono accettate anche dimostrazioni video sotto forma di screencast.
  • Vorremmo dare credito a chi ci segnala la vulnerabilità. Se volete che il vostro nome/email/gesto dei social media sia associato alle scoperte, fatecelo sapere.

Dopo l'invio della segnalazione, il team di sicurezza di Checkmk vi contatterà entro pochi giorni lavorativi. Nella sua risposta, il team riconoscerà la vulnerabilità o chiederà ulteriori dettagli su come riprodurre la vulnerabilità.

La promessa di Checkmk

Apprezziamo le vostre segnalazioni e la vostra disponibilità ad aiutare Checkmk a sviluppare e mantenere un software sicuro e di alta qualità. Seguendo questa Politica di divulgazione delle vulnerabilità, vi assicuriamo che faremo del nostro meglio per:

  • Rispondere alle vostre segnalazioni il più rapidamente possibile, idealmente entro pochi giorni.
  • Contattare l'utente per ulteriori domande sulla scoperta presentata, se non è stato possibile riprodurla.
  • Riconoscere il vostro impegno in conformità con le nostre attuali politiche aziendali e la vostra disponibilità a essere menzionati
  • Non avanzare alcuna richiesta di risarcimento nei confronti dei segnalanti, a condizione che:
    • Le parti segnalanti non causino danni intenzionali a Checkmk, ai suoi partner o ai suoi clienti.
    • Le parti segnalanti non violino la privacy o la sicurezza di Checkmk, dei suoi partner o dei suoi clienti
    • Le parti segnalanti non violino il diritto penale
  • Offrire eventualmente un segno di apprezzamento, a seconda dei casi:
    • La qualità della segnalazione
    • La valutazione della criticità del rapporto

Ambito di applicazione

All'interno dell'ambito di applicazione

Le seguenti risorse rientrano nell'ambito del programma di divulgazione delle vulnerabilità:

Fuori dall'ambito di applicazione

I seguenti attacchi non rientrano nell'ambito di questo programma di divulgazione delle vulnerabilità:

  • Self-XSS che non possono essere sfruttati contro altri utenti.
  • (Attacchi DDoS (Distributed Denial of Service) contro i domini sopra citati, le macchine che eseguono Checkmk o le appliance Checkmk.
  • Mancanza di applicazione dell'HSTS per le applicazioni web di Checkmk.
  • Flag dei cookie mancanti senza un PoC su come questo possa essere sfruttato
  • Mancanza di intestazioni di sicurezza senza un PoC su come questo possa essere sfruttato
  • Contrabbando di richieste HTTP senza alcun impatto commerciale comprovato
  • SSRF cieco senza impatto commerciale dimostrato (il solo DNS pingback non è sufficiente)
  • Manipolazione delle intestazioni HTTP Host senza un impatto commerciale comprovato
  • Chiavi API divulgate e/o mal configurate senza un comprovato impatto sull'azienda
  • Messaggi di errore e di log verbosi che non rivelano dati personali o segreti
  • Attacchi di clickjacking con impatto basso o nullo
  • Divulgazione di versioni senza PoC su come possono essere sfruttate
  • Porte aperte senza PoC su come possono essere sfruttate
  • Configurazioni SSL deboli e rapporti di scansione SSL/TLS
  • Caricamento arbitrario di file senza prova dell'esistenza del file caricato
  • Violazioni delle best practice (complessità delle password, scadenza, riutilizzo, ecc.), con impatto basso o nullo
  • Installazione di software dannoso su macchine che eseguono Checkmk o sulle appliance Checkmk
  • Attacchi fisici contro le appliance Checkmk
  • Attacchi di social engineering contro i dipendenti, i partner o i clienti di Checkmk (ad esempio, phishing, vishing, waterholing, typosquatting, attacchi omografi, ecc.)
  • Qualsiasi cosa relativa a spoofing di e-mail, SPF, DMARC o DKIM
  • Bombardamento di e-mail
  • Attacchi side-channel

Versione della politica

La versione attuale di questa politica è la v1.05 ed è stata aggiornata l'ultima volta il 2023-08-10.

Guarda tu stesso

Scopri Checkmk adesso.

Scarica Checkmk Raw Monitoraggio gratuito e open source
Checkmk Demo Prova Checkmk senza installazione

Partecipa alla Checkmk Conference #11, l'evento ibrido della comunità del monitoraggio che si terrà a Monaco di Baviera dal 20 al 22 maggio - per scoprire le nuove funzionalità di Checkmk, best practice e la nostra roadmap.

Registrati adesso