Gemeinsam. Digital. Souverän.
Coordinated Vulnerability Disclosure
Wir glauben an offene Zusammenarbeit für digitale Souveränität. Werden Sie Teil unserer Community und helfen Sie mit, sichere Open-Source-Lösungen für die Öffentliche Verwaltung zu gestalten.
Verantwortungsvolle Sicherheitszusammenarbeit
Digitale Souveränität bedeutet, unsere Systeme genau zu kennen. Etwas gefunden? Wir glauben an transparente, kooperative Offenlegung.
Was wir schützen
openCode, openDesk und die zugehörige Infrastruktur. Alle öffentlich zugänglichen Dienste von ZenDiS. Wir begrüßen jeden, der mit uns die digitale Souveränität der Öffentlichen Verwaltung stärkt.
Grenzen
Keine Social Engineering, keine physischen Tests. Detaillierte Regeln und weitere Einschränkungen finden Sie in unserer Richtlinie.
Koordinierte Offenlegung
Nach Verifizierung und Behebung stimmen wir gemeinsam den Zeitpunkt der öffentlichen Bekanntgabe ab. Anerkennung erfolgt in unserer Hall of Fame – Anonymität ist möglich.
So arbeiten wir zusammen
Transparenz und klare Kommunikation sind uns wichtig. Jeder gemeldete Fund wird zeitnah bearbeitet.
Melden
Senden Sie Ihre Erkenntnisse per E-Mail an security@zendis.de mit detaillierten Informationen zur Schwachstelle, Reproduktionsschritten und potenzieller Auswirkung. Für produktbezogene Probleme: product-security@zendis.de
Bestätigung
Unser Sicherheitsteam bestätigt den Eingang innerhalb von 48 Stunden und gibt eine erste Einschätzung. Sie erhalten eine Tracking-Nummer zur Referenz.
Verifizierung
Wir untersuchen das gemeldete Problem, verifizieren die Schwachstelle und bewerten deren Schweregrad. Bei Bedarf fragen wir weitere Informationen an.
Behebung
Wir arbeiten an einer Lösung und testen die Behebung. Sie werden über Fortschritt und Zeitrahmen informiert.
Anerkennung
Nach erfolgreicher Behebung nehmen wir Sie in unsere Hall of Fame auf. Auf Wunsch bleiben Sie anonym.
Hall of Fame
Community-Mitglieder, die zu unserer gemeinsamen Sicherheit beigetragen haben. Vielen Dank!
| Sicherheitsforschende | Referenzen | Schwachstellen | Anzahl |
|---|---|---|---|
| N.N. | zendis.de | Injection | 2 |
Kontakt
Sie haben Fragen oder möchten einen Befund besprechen? Wir freuen uns auf den Dialog.
ZenDiS Sicherheit
Für sicherheitsrelevante Angelegenheiten im Zusammenhang mit ZenDiS allgemein.
security@zendis.deProduktsicherheit
Für Schwachstellen in openCode, openDesk oder anderen ZenDiS-Produkten.
product-security@zendis.de PGP-SchlüsselCVD-Richtlinie
Unsere Arbeit basiert auf etablierten Grundsätzen für verantwortungsvolle Offenlegung. Die Richtlinie des BSI dient als Orientierung.
Wir versprechen
- Jede Schwachstellenmeldung vertraulich zu behandeln.
- Auf jede Meldung innerhalb von 48 Stunden zu antworten.
- Ihren Namen nur mit ausdrücklicher Zustimmung zu veröffentlichen.
- Keine strafrechtlichen Schritte einzuleiten, solange die Richtlinie eingehalten wird.
Wir erwarten
- Keine Ausnutzung der Schwachstelle über die recherche hinaus.
- Keine Angriffe wie Social Engineering, Spam oder DoS.
- Keine Veröffentlichung von Exploits auf Darknet-Märkten.
- Keine automatisierten Scans ohne erklärende Dokumentation.
- Gültige Kontaktdaten für Rückfragen.
- Schwachstellen in Drittkomponenten zuerst an den Hersteller melden.