====================================
PRAVIDLA ZVEREJNOVANIA ZRANITELNOSTI
====================================

Proces zverejnovania zranitelnosti je rozdeleny do troch faz: 

 1. Informovanie dodavatela o zranitelnosti
 2. Zverejnenie nazvu produktu v Security Advisory bez dalsich podrobnosti (volitelne)
 3. Zverejnenie zranitelnosti / doplnenie detailov o zranitelnosti

Upozornujeme, ze tieto pravidla sa nevztahuju na zranitelnosti identifikovane pocas
projektov klientov, ktore su predmetom dohod o mlcanlivosti.

PROCES ZVEREJNENIA ZRANITELNOSTI

Binary House sa pokusi nadviazat komunikaciu s bezpecnostnym timom dodavatela
prostrednictvom sifrovaneho kanala (GPG, S/MIME..). Na komunikaciu sa pouzije emailova
adresa urcena na nahlasovanie zranitelnosti, ktoru ma dodavatel uvedenu na svojej web
stranke alebo nasledovne emailove adresy:

 - security@
 - secure@
 - alert@
 - support@
 - info@

Ak nie je mozne zahajit priamu komunikaciu s bezpecnostnym timom, pociatocny kontakt
bude vykonany prostrednictvom standardnej zakaznickej podpory. V takomto pripade nesmie
prvotna komunikacia obsahovat podrobnosti o zranitelnosti, ale bude sluzit ako metoda
ziskania kontaktu.

Dotknuty dodavatel obdrzi vsetky potrebne informacie o zistenej zranitelnosti.
Dodavatel je tiez informovany o tom, ze planovany datum zverejnenia je 90 dni odo dna
vykonania pociatocneho pokusu o kontakt. V pripade, ze Binary House nedostane ziadnu
odpoved do 30 dni od pociatocneho pokusu o komunikaciu, zverejni informacie o najdenej
zranitelnosti a podla moznosti zahrnie pokyny na zmiernie dopadu alebo napravu problemu.

V pripade, ze dodavatel nestiha vydat zaplatu do 90 dni, avsak dopredu oznami, ze
oprava bude dostupna do 14 dni po planovanom datume zverejnenia, uverejnenie informacii 
o zranitelnosti bude odlozene, az dokym oprava nebude verejne k dispozicii alebo kym
nevyprsi platnost tohto odkladu, podla toho, co nastane skor. V pripade, ze dodavatel
zverejni opravu pred 90-dnovym casovym ramcom, Binary House si ponechava pravo
uverejnit informacie o najdenej zranitelnosti s uplnymi technickymi podrobnostami a PoC
(ak je k dispozicii) pred vopred planovanym datumom zverejnenia.

Informacie o najdenych zranitelnostiach budu zverejnene na tejto URL adrese:
 - https://www.binary.house/security-advisories

Verejny GPG kluc je dostupny na:
 - https://www.binary.house/binaryhouse.asc


Verzia: 1.0
Posledna aktualizacia: 19.07.2018