ما هي سياسة الإبلاغ المسؤول عن الثغرات (Vulnerability Responsible Reporting)
سياسة الإبلاغ المسؤول عن الثغرات (VRR) هي عملية يقوم فيها الباحثون الأمنيون أو المخترقون الأخلاقيون باكتشاف نقاط الضعف في برامج أو أجهزة أو أنظمة BeeORDER وإبلاغنا بها، هدفنا الرئيسي هو رفع مستوى الأمن لمنظومتنا من خلال معالجة هذه الثغرات الأمنية قبل أن يستغلها الجهات التي ممكن أن تلحق الأذى.
تتضمن العملية الخطوات التالية:
- الاكتشاف: وهي المرحلة الأولى عندما يكتشف الباحثون الأمنيون أو المخترقون الأخلاقيون ثغرة أمنية.
- الإبلاغ: على الباحثين تقديم تقرير مفصل عن الثغرة الأمنية. يجب أن يتضمن:
- وصف شامل للثغرة الأمنية، بما في ذلك التفاصيل التقنية.
- خطوات لإعادة توليد الثغرة الأمنية (Proof of concept).
- النظام، أو الموقع أو التطبيق التي يتأثر بالثغرة الأمنية.
- اقتراح لحل ممكن لإغلاق الثغرة (اختياري).
يتم الإبلاغ عن طريق ارسال بريد الكتروني للعنوان التالي:
- التحقق: ندرس التقرير ونراجع الثغرة الأمنية ونتحقق من وجودها.
- العلاج: نعمل على تطوير تصحيح أو إصلاح لمعالجة الثغرة الأمنية.
- التقدير: بعد الإبلاغ بالشكل الذي تقدم، نقدر مساهمة الباحث بناءً على تقييم شامل يأخذ في الاعتبار:
- تأثير الثغرة الأمنية: شدة الثغرة الأمنية المحتملة والأضرار التي يمكن أن تلحقها.
- حجم الثغرة الأمنية: نطاق الثغرة الأمنية وعدد الأنظمة أو المستخدمين المتأثرين.
- التعاون: أسلوب تواصل الباحث واستعداده للعمل معنا والالتزام بممارسات الإبلاغ المسؤول.
- الحل المقدم: ما إذا كان الباحث قد قدم حلاً في تقريره.
وبعدها يتم المضي في التقدير حسب ما سبق وقد يتخذ هذا التقدير عدة أشكال:
- الإشادة عبر وسائل التواصل الاجتماعي: الاعتراف علناً بمساهمة الباحث على منصات التواصل الاجتماعي الخاصة بنا.
- المكافأة: من الممكن تقديم مكافأة مادية.
- شهادة تقدير: منح الباحث شهادة تقدير لدوره في تحسين أمن منظومتنا.
- العمل مع الباحث كاستشاري: من الممكن التعاقد مع الباحث للعمل مع شركتنا كمستشار للثغرات الأمنية والتقنية
لا نضمن التقدير لجميع الثغرات الأمنية التي يتم الإبلاغ عنها، نحتفظ بالحق في عدم الاعتراف علناً أو مكافأة الثغرات الأمنية حسب ما نراه مناسباً.
الهدف من هذه السياسة:
تساعد سياسة الإبلاغ المسؤول عن الثغرات في حماية مستخدمينا وأنظمتنا من الهجمات المحتملة، وتعزز التعاون بين الباحثين الأمنيين وبيننا، مما يخلق بيئة رقمية أكثر أمانًا للجميع، من خلال تنفيذ هذه السياسة، نهدف إلى تحفيز الإبلاغ المسؤول والتعبير عن امتناننا للباحثين الأمنيين الذين يساعدوننا في الحفاظ على منظومة خالية من الثغرات الأمنية.
لأي معلومات او استفسارات الرجاء التواصل على هذا البريد الالكتروني: