Malwarebytes Richtlinien für das Programm zur verantwortungsvollen Offenlegung
Verantwortungsvolle vs. nicht-verantwortungsvolle Offenlegung
Unserer Erfahrung nach sind (a) die Veröffentlichung von Proof-of-Concept-Exploit-Code, (b) unnötige Details, um die Sache zu verdeutlichen, oder (c) die Veröffentlichung von Details zu Sicherheitslücken, bevor eine Lösung verfügbar ist, unverantwortliche Veröffentlichungen, die mehr schaden als nutzen, da sie unnötige Aufmerksamkeit auf ein Sicherheitsproblem lenken. Aus diesem Grund werden im Rahmen des Malwarebytes CVD-Programms nur Bug Bounties an Melder vergeben, die sich an die Richtlinien zur verantwortungsvollen Veröffentlichung von Informationen halten.
Was verstehen wir unter Bug Bounty?
Malwarebytes Geldprämien für die interessantesten Fehler. Die Höhe der Prämie für interessante Fehler hängt vom Schweregrad und der Ausnutzbarkeit des Fehlers ab. Malwarebytes jedoch das Recht Malwarebytes , diesen Betrag von Fall zu Fall zu erhöhen. Zusätzlich werden CVEs zugewiesen und unter malwarebytes aufgelistet.
Welche Vertraulichkeitsverpflichtungen gehe ich mit der Einreichung eines Beitrags ein?
Wenn Sie uns eine Einsendung für dieses Programm schicken, erklären Sie sich damit einverstanden, dass Sie funktionierenden Exploit-Code (einschließlich Binärdateien dieses Codes) für die betreffende Schwachstelle erst dann an andere Unternehmen weitergeben, wenn die Behebung der Schwachstelle bestätigt wurde, es sei denn, Malwarebytes stellt diesen Code allgemein zur Verfügung oder Sie sind gesetzlich verpflichtet, ihn offenzulegen. Dies hindert Sie nicht daran, die Schwachstelle zu diskutieren oder die Auswirkungen des Exploits im Code zu zeigen.
Welche Arten von Schwachstellen akzeptiert das CVD-Programm?
Bitte beachten Sie die HackerOne-Programmrichtlinien.
Zuletzt bearbeitet August 13, 2025