Varnost in zaupanje
Razkrivanje ranljivosti, PGP-stik in skladnost z EU Cyber Resilience Act (CRA).
1. Prijava ranljivosti
Ste odkrili varnostno težavo? Pozdravljamo zaupne prijave. Uporabite spodnje kanale namesto javnih.
Zaupni kontaktni kanali
- E-pošta:security@chorilo.com
- PGP-ključ:/.well-known/pgp-key.txt
- security.txt po RFC 9116:/.well-known/security.txt
2. Obseg
V obsegu
- chorilo.com in vsi produkcijski poddomeni
- Chorilo Backend API
- Chorilo mobilna aplikacija (iOS, Android)
- Namizna aplikacija Chorilo Files (macOS, Windows)
- Avtentikacija, avtorizacija, kontrole dostopa do podatkov
Izven obsega
- Poročila avtomatiziranih skenerjev brez delujočega dokaza koncepta
- Manjkajoči varnostni glave brez dokazljivega vpliva
- Phishing ali socialni inženiring osebja
- Storitve tretjih oseb (Stripe, Sentry — prijavite tam)
- Self-XSS, napadi na napravo poročevalca
3. Safe Harbor
Če delujete v dobri veri, ne bomo sprožili civilnih ali kazenskih postopkov, pod pogojem da:
- Se izogibate kršitvam zasebnosti, uničenju podatkov in motnjam storitve.
- Komunicirate samo z lastnimi računi ali z izrecnim dovoljenjem.
- Ne eksfiltrirate več podatkov, kot je potrebno za prikaz težave.
- Nam daste razumen čas za odpravo pred javnim razkritjem.
- Ne izkoriščate ranljivosti onkraj minimuma.
4. Odzivni časi
| Rok | Akcija |
|---|---|
| 3 delovnih dni | Potrditev prejema poročevalcu |
| 10 delovnih dni | Začetna ocena in klasifikacija resnosti |
| 24 h | Zgodnje opozorilo ENISA za aktivno izkoriščane ranljivosti |
| 72 h | Obvestilo o ranljivosti z načrtom blažitve |
| 14 d | Končno poročilo z osnovnim vzrokom in odpravo |
Za aktivno izkoriščane ranljivosti velja časovnica CRA (24h / 72h / 14d).
5. PGP-ključ
Za posebej občutljiva poročila se lahko uporabi naslednji PGP-ključ.
Key ID:F515A8A7A0AF17DB
Fingerprint:D4DECED45D1FBC7D2251A143F515A8A7A0AF17DB
Download: /.well-known/pgp-key.txt
Primerjajte prstni odtis z drugim virom — npr. keys.openpgp.org — pred prvo uporabo.
6. Skladnost s CRA
Chorilo izpolnjuje EU Cyber Resilience Act (Uredba 2024/2847):
- Politika razkrivanja po čl. 13 in 14 CRA.
- Software Bill of Materials (CycloneDX 1.5) po komponenti.
- Tehnična dokumentacija po Prilogi VII, hranjena 10 let.
- Javna statusna stran in zgodovina incidentov na /status
7. Hall of Fame
Seznam varnostnih raziskovalcev, ki prispevajo k Chorilu, bo objavljen po rešitvi prvih poročil.