Beveiligingsbeleid
Wij nemen de beveiliging van deze site en haar gebruikers serieus. Deze pagina beschrijft hoe u een kwetsbaarheid kunt melden en wat wij ons verplichten te doen.
Een kwetsbaarheid melden
Als u een beveiligingskwetsbaarheid ontdekt op deze site of de ondersteunende infrastructuur, meld dit dan verantwoordelijk. Open geen publiek GitHub-issue voor beveiligingskwetsbaarheden.
Voorkeursmethode: Stuur een e-mail naar security@eucybersecurity.org met een beschrijving van de kwetsbaarheid, stappen om het te reproduceren en de potentiële impact. We bevestigen ontvangst binnen 48 uur.
U kunt ook onze security.txt raadplegen voor
machineleesbare contactinformatie voor openbaarmaking.
Gecoördineerde openbaarmaking
We volgen een beleid voor gecoördineerde openbaarmaking. We vragen u ons een redelijke tijd te geven om te onderzoeken en te verhelpen vóór enige publieke openbaarmaking — doorgaans 90 dagen, tenzij de kwetsbaarheid actief wordt uitgebuit.
We zullen geen juridische stappen ondernemen tegen onderzoekers die te goeder trouw kwetsbaarheden melden volgens dit beleid.
Reikwijdte
Binnen de reikwijdte voor verantwoordelijke openbaarmaking:
- De eucybersecurity.org website en haar subdomeinen
- De publieke API-eindpunten
- Authenticatie en sessiebeheer
- Injectiekwetsbaarheden (SQLi, XSS, SSRF, enz.)
Buiten de reikwijdte:
- Denial-of-service aanvallen
- Social engineering van personeel
- Fysieke aanvallen
Beveiligingsheaders
Deze site levert strikte beveiligingsheaders op alle antwoorden, inclusief Content-Security-Policy (nonce-gebaseerd), HSTS met preload, X-Frame-Options: DENY en Permissions-Policy.