Eine Sicherheitslücke melden
Wenn du eine Sicherheitslücke in FileMorph oder in diesem Deployment entdeckt hast, schicke bitte eine E-Mail an [email protected] mit einer klaren Beschreibung der Lücke und der Schritte zur Reproduktion. Verschlüsselte Mail ist willkommen — fordere unseren PGP-Key bei der gleichen Adresse an, falls benötigt.
Für Probleme im Open-Source-Codebase selbst kannst du alternativ GitHub Security Advisories. Dieser Kanal ist bevorzugt für Probleme, die jede selbst gehostete Instanz betreffen, da die Repository-Maintainer eine CVE koordinieren und eine gepatchte Version zentral veröffentlichen können.
Was ein Bericht enthalten sollte
- Eine Beschreibung der Sicherheitslücke und ihrer potenziellen Auswirkungen.
- Schritte zur Reproduktion, einschließlich erforderlicher Konfiguration oder Input-Dateien.
- Betroffene Version (Commit-Hash oder Release-Tag, falls bekannt).
- Ob das Problem bereits anderswo öffentlich offengelegt wurde.
Unsere Reaktion
- Bestätigung: innerhalb von 72 Stunden nach Eingang.
- Erste Prüfung: innerhalb von 7 Tagen, einschließlich einer Schweregrad-Bewertung.
- Behebungs-Zeitplan: kritische Probleme innerhalb von 7 Tagen, hohe Schwere innerhalb von 30 Tagen, mittel/niedrig im nächsten regulären Release.
- Koordinierte Offenlegung: wir veröffentlichen einen Advisory, sobald ein Fix-Release verfügbar ist, und nennen Reporter, die genannt werden möchten.
Geltungsbereich
Im Geltungsbereich:
- Der FileMorph-Anwendungs-Quellcode (dieses Repository).
- Die offiziellen Docker-Images und Release-Artefakte.
- Dokumentierte API-Endpunkte und die Web-UI.
Nicht im Geltungsbereich:
- Drittanbieter-Dienste, von denen wir abhängen (Stripe, Zoho, Cloudflare, Hetzner) — bitte direkt an die jeweiligen Anbieter melden.
- Probleme, die physischen Zugriff auf einen selbst gehosteten Server oder Social Engineering eines Operators erfordern.
- Berichte, die ausschließlich von automatisierten Scannern ohne funktionierenden Proof-of-Concept erstellt wurden.
- Self-Hoster-spezifische Deployment-Fehlkonfigurationen, die nicht durch unsere Defaults oder Dokumentation verursacht werden.
Safe-Harbour
Gutgläubige Forschung im Einklang mit dieser Richtlinie führt nicht zu rechtlichen Schritten seitens des FileMorph-Projekts. Bitte vermeide Datenschutzverletzungen, Service-Unterbrechungen und Datenzerstörung; teste wenn möglich gegen deine eigene selbst gehostete Instanz.