Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS

Hoe meld je een kwetsbaarheid in ownCloud op een veilige manier

Hoe meld je een kwetsbaarheid in ownCloud op een veilige manier. Lees hoe je een beveiligingskwetsbaarheid bij ownCloud kunt melden via officiële kanalen zoals VDP of Bug Bounty. Volg de richtlijnen en dien gedetailleerde meldingen in.

Startpagina Woordenlijst Hoe meld je een kwetsbaarheid in ownCloud op een veilige manier

Beleid voor beveiligingsmeldingen

ownCloud — een Kiteworks-bedrijf

De beveiliging van ownCloud en haar gebruikers is een kerntaak.
We hanteren een formeel beleid voor het melden van kwetsbaarheden en een Bug Bounty Programma om ervoor te zorgen dat beveiligingsproblemen effectief worden geïdentificeerd, gemeld en opgelost.

Hoe meld je een kwetsbaarheid

Hoe meld je een kwetsbaarheid

Meld beveiligingskwetsbaarheden via onze officiële kanalen:

Meld beveiligingskwetsbaarheden niet via openbare GitHub-issues, forumposts of sociale media. Openbare bekendmaking van niet-gepatchte kwetsbaarheden brengt gebruikers in gevaar en diskwalificeert meldingen voor het bug bounty programma.

Wat moet je opnemen in je melding

Een bruikbare kwetsbaarheidsmelding bevat minimaal:

  • Een duidelijke beschrijving van de kwetsbaarheid en de mogelijke impact.
  • Het getroffen product en de versie (oCIS, Desktop Client, Android, iOS of ownCloud Server 10.x).
  • Stappen om het probleem te reproduceren, bij voorkeur met een proof of concept.
  • Jouw inschatting van de ernst (indien mogelijk een CVSS-score).

Hoe meer details je verstrekt, hoe sneller wij het probleem kunnen beoordelen en oplossen.

Wat moet je opnemen in je melding
Onze belofte aan jou

Onze belofte aan jou

Wanneer je een kwetsbaarheid meldt via onze officiële kanalen, kun je het volgende van ons verwachten:

  • Beoordeling. Een lid van het ownCloud-beveiligingsteam beoordeelt de kwetsbaarheid, bepaalt de impact en classificeert de ernst.
  • Oplossing. We ontwikkelen en testen een oplossing, passen deze toe op de relevante branches en nemen deze op in de volgende beveiligingsrelease. Bij kritieke problemen kunnen we een tussentijdse release uitbrengen.

Gedragsregels

We vragen beveiligingsonderzoekers zich aan deze richtlijnen te houden:

  • Test alleen op je eigen installatie van ownCloud.
  • Raak geen gegevens van andere gebruikers aan, wijzig ze niet en verwijder ze niet.
  • Voer geen denial-of-service aanvallen uit op de ownCloud-infrastructuur.
  • Publiceer geen details over kwetsbaarheden voordat ownCloud een oplossing en een publieke waarschuwing heeft uitgebracht.
  • Geef het beveiligingsteam redelijke tijd om te reageren en het probleem te herstellen.
  • Twijfel je of iets binnen de scope valt? Neem dan eerst contact op via security@owncloud.com.
Gedragsregels
Bug Bounty Programma

Bug Bounty Programma

Ons bug bounty programma op YesWeHack beloont beveiligingsonderzoekers voor in aanmerking komende kwetsbaarheden op basis van ernst. De ernst wordt bepaald door het ownCloud-beveiligingsteam. Beloningen worden uitbetaald via het YesWeHack-platform. Kwetsbaarheden waarvoor beheerdersrechten nodig zijn (CVSS PR:H) worden doorgaans gemaximeerd op High severity, tenzij ze gecombineerd worden met privilege-escalatie.

Buiten scope

De volgende punten vallen doorgaans buiten de scope van ons bug bounty programma:

  • Netwerkgerichte aanvallen (DDoS, MitM zonder impact op applicatieniveau).
  • Social engineering of phishingaanvallen op ownCloud-medewerkers.
  • Problemen in applicaties van derden die niet door ownCloud worden beheerd (meld deze bij de betreffende ontwikkelaar).
  • Ontbrekende security headers zonder aantoonbare impact.
  • SPF/DKIM/DMARC-misconfiguraties.
  • Beleid voor sessie-verval.
  • Meldingen van geautomatiseerde scanners zonder gevalideerde proof of concept.
Buiten scope
Kwetsbaarheden in toeleveringsketen en afhankelijkheden

Kwetsbaarheden in toeleveringsketen en afhankelijkheden

Als je een kwetsbaarheid ontdekt in een afhankelijkheid die door ownCloud wordt gebruikt, zoals een bibliotheek, container image of build tool, meld deze dan via onze standaardkanalen. We stemmen de bekendmaking waar nodig af met de oorspronkelijke ontwikkelaar.

ownCloud bewaakt haar toeleveringsketen via geautomatiseerde scans en onderhoudt een SBOM (Software Bill of Materials) proces.

Contact

  • VDP / Bug Bounty: security.owncloud.com / YesWeHack
  • Security Team E-mail: security@owncloud.com
  • OSPO Contact: ospo@kiteworks.com
Contact

Veelgestelde vragen

Je kunt beveiligingslekken melden via de officiële kanalen van ownCloud: het VDP Platform op security.owncloud.com, het Bug Bounty Programma op YesWeHack, of per e-mail via security@owncloud.com voor kwesties buiten de bug bounty scope. Vermijd publieke bekendmaking op platforms zoals GitHub, forums of sociale media om gebruikers te beschermen en in aanmerking te blijven komen voor het bug bounty programma.

Een bruikbaar kwetsbaarheidsrapport bevat een duidelijke beschrijving van het beveiligingslek en de mogelijke impact, het getroffen product en de versie (bijvoorbeeld oCIS, Desktop Client, Android, iOS of ownCloud Server 10.x), stappen om het probleem te reproduceren met indien mogelijk een proof of concept, en jouw inschatting van de ernst, zoals een CVSS-score. Het verstrekken van gedetailleerde informatie helpt bij het versnellen van triage en oplossing.

ownCloud verplicht zich ertoe het gemelde beveiligingslek te beoordelen door een lid van het beveiligingsteam de impact te laten evalueren en de ernst te classificeren. Vervolgens wordt er een oplossing ontwikkeld en getest, toegepast op de relevante branches en opgenomen in de volgende beveiligingsrelease, of wordt er bij kritieke problemen een tussentijdse release uitgebracht.

Security researchers moeten zich aan deze richtlijnen houden: test kwetsbaarheden alleen op je eigen ownCloud-installatie, vermijd toegang tot of wijziging van gegevens van andere gebruikers, voer geen denial-of-service aanvallen uit op de infrastructuur van ownCloud, publiceer geen details over kwetsbaarheden voordat er een oplossing en een advisory zijn uitgebracht, geef voldoende tijd voor reactie en herstel, en neem contact op met security@owncloud.com als je twijfelt over de scope.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks