Zelix AI (InterIP Networks BV) betreibt ein koordiniertes Schwachstellen-Offenlegungs-Programm. Wir verpflichten uns zu Folgendem:
- Wir werden den Empfang Ihres Berichts innerhalb von 5 Arbeitstagen bestätigen.
- Wir werden die Schwachstelle untersuchen und, falls bestätigt, innerhalb von 90 Tagen ab dem Anerkennungsdatum beheben.
- Wir bitten Sie, die Schwachstelle nicht öffentlich zu diskutieren, bevor die 90-Tage-Frist abgelaufen ist und wir den Fix bestätigt haben.
- Falls ein Patch nicht innerhalb von 90 Tagen bereitgestellt werden kann, einigen wir uns schriftlich auf eine gegenseitige Verlängerung.
- Wir werden keine rechtlichen Schritte gegen Forscher einleiten, die diese Richtlinie in gutem Glauben befolgen.
1
Bericht einreichen
Senden Sie eine klare Beschreibung der Sicherheitslücke, Schritte zur Reproduktion, betroffene URL/Komponente und mögliche Auswirkungen an security@zelixai.ai. PGP-verschlüsselte Berichte sind willkommen.
2
Bestätigung (innerhalb von 5 Arbeitstagen)
Wir bestätigen den Empfang und beginnen mit der Triage. Wir stellen bei Bedarf Klärungsfragen.
3
Fix und Überprüfung (innerhalb von 90 Tagen)
Wir beheben das Problem und laden Sie ein, den Fix nach Möglichkeit zu überprüfen. Wir halten Sie über den Fortschritt informiert.
4
Koordinierte öffentliche Offenlegung
Nach Bestätigung des Fix veröffentlichen wir eine Sicherheitsmitteilung (falls erforderlich) und erwähnen Sie — mit Ihrer Erlaubnis — in unserer Hall of Fame.
Bitte diskutieren Sie mögliche Schwachstellen nicht in öffentlichen Kanälen (GitHub, soziale Medien, Foren), bevor Sie sie mit uns koordinieren.
Das Folgende liegt außerhalb des Geltungsbereichs unseres Programms und wird nicht belohnt oder anerkannt:
✗
Denial-of-Service-Angriffe (volumetrisch oder auf Anwendungsebene)
✗
Phishing, Typosquatting oder Social-Engineering-Angriffe gegen Zelix AI-Mitarbeiter oder Kunden
✗
Social Engineering gegen Support-Personal
✗
Physische Sicherheitsschwachstellen
✗
E-Mail-Spam / SPF-DKIM-Fehlkonfigurationsberichte ohne nachgewiesene Ausnutzung
✗
Automatisierte Scanner-Ausgabe ohne manuelle Verifizierung
✗
Schwachstellen in Drittanbieter-Diensten, die wir nutzen (direkt an den Anbieter melden)
✗
Self-XSS, das das Opfer zu eigenen bösartigen Eingaben zwingt
Wir danken den folgenden Forschern, die Schwachstellen verantwortungsvoll bei uns gemeldet haben:
🏆
Noch keine Einträge — seien Sie der Erste, der anerkannt wird!
Forscher, die eine gültige, im Bereich liegende Schwachstelle melden und zustimmen, genannt zu werden, erscheinen hier nach koordinierter Veröffentlichung.
