Polityka bezpieczeństwa
Poważnie traktujemy bezpieczeństwo tej strony i jej użytkowników. Ta strona opisuje, jak zgłosić lukę w zabezpieczeniach i do czego się zobowiązujemy w odpowiedzi.
Zgłaszanie luki w zabezpieczeniach
Jeśli odkryjesz lukę w zabezpieczeniach tej witryny lub jej infrastruktury wspierającej, zgłoś ją odpowiedzialnie. Nie otwieraj publicznego zgłoszenia na GitHub w sprawie luk bezpieczeństwa.
Preferowana metoda: Wyślij e-mail na adres security@eucybersecurity.org z opisem luki, krokami do jej odtworzenia i potencjalnym wpływem. Potwierdzimy odbiór w ciągu 48 godzin.
Możesz również zapoznać się z naszym security.txt, aby uzyskać
informacje kontaktowe dotyczące ujawniania w formacie czytelnym maszynowo.
Skoordynowane ujawnianie
Stosujemy politykę skoordynowanego ujawniania. Prosimy o zapewnienie nam rozsądnego czasu na zbadanie i naprawę przed jakimkolwiek publicznym ujawnieniem — zazwyczaj 90 dni, chyba że luka jest aktywnie wykorzystywana.
Nie będziemy podejmować działań prawnych przeciwko badaczom działającym w dobrej wierze, którzy zgłaszają luki zgodnie z niniejszą polityką.
Zakres
W zakresie odpowiedzialnego ujawniania:
- Strona internetowa eucybersecurity.org i jej subdomeny
- Publiczne punkty końcowe API
- Uwierzytelnianie i zarządzanie sesjami
- Luki związane z wstrzykiwaniem (SQLi, XSS, SSRF itp.)
Poza zakresem:
- Ataki typu denial-of-service
- Inżynieria społeczna pracowników
- Ataki fizyczne
Nagłówki bezpieczeństwa
Ta strona dostarcza rygorystyczne nagłówki bezpieczeństwa we wszystkich odpowiedziach, w tym Content-Security-Policy (oparte na nonce), HSTS z preloadem, X-Frame-Options: DENY i Permissions-Policy.