Политика в отношении уязвимостей

Введение

В настоящей Политике представлены:

  • примечания об уязвимостях в предыдущих версиях ПО Comindware Platform;
  • подход Comindware к работе с выявленными или потенциальными уязвимостями в Comindware Platform;
  • правила ответственного информирования об уязвимостях;
  • важные ограничения.

Предыдущие версии с уязвимостями

В версиях Comindware Platform, выпущенных до 31.12.2025, были выявлены критические уязвимости.

Для обеспечения безопасности следует использовать версию 5.0 от 31.12.2025 или новее.

Comindware настоятельно рекомендует пользователям предыдущих версий обновить ПО до новейшей рекомендуемой версии.

Сведения об устранении отдельных уязвимостей Comindware Platform, выявленных ранее в ходе независимых испытаний, представлены в статье «Устранённые уязвимости».

Уязвимости, создаваемые гражданскими разработчиками

При разработке и развитии прикладных решений на основе Comindware Platform (в том числе с использованием C#-скриптов, сценариев, интеграций, API и т. п.) гражданские разработчики могут непреднамеренно создавать уязвимости, например:

  • повышение привилегий пользователей;
  • обход ограничений доступа к данным;
  • раскрытие конфиденциальной информации;
  • создание условий (поверхностей) для атак (инъекции, XSS и др.);
  • снижение производительности;
  • нарушение доступности систем.

Ответственность за проектирование, разработку, тестирование, внедрение и оптимизацию прикладных решений, созданных или модифицированных силами Конечного пользователя/Лицензиата ПО Comindware или привлекаемыми им для этого третьими лицами, несёт Конечный пользователь. См. определение термина «Конечный пользователь» в Лицензионном соглашении конечного пользователя.

Компания Comindware не контролирует и не несёт какой бы то ни было ответственности за реализацию конкретных Бизнес-приложений, создаваемых пользователями Comindware Platform.

Обращения к разработчикам сторонних решений

Любые обращения в отношении работоспособности, стабильности, производительности и прочих параметров работы сторонних Бизнес-приложений и сервисов, интегрированных с ПО Comindware, должны адресоваться их разработчикам, правообладателям и владельцам.

Информирование об уязвимостях

Соблюдение Политики в отношении уязвимостей Comindware

Comindware поддерживает ответственное информирование об уязвимостях в Comindware Platform и приветствует участие исследователей безопасности в повышении безопасности Comindware Platform.

Тем не менее, такие исследования и информирование должны соответствовать положениям настоящей Политики Comindware и не должны нарушать Лицензионное соглашение конечного пользователя.

Канал для подачи отчётов

Сообщайте о выявленных потенциальных уязвимостях через службу поддержки с пометкой «Уязвимость».

В сообщении рекомендуется указать:

  • версию Comindware Platform;
  • конфигурацию среды выполнения;
  • описание уязвимости и ожидаемого влияния (рисков);
  • шаги для воспроизведения;
  • рекомендации по устранению или смягчению.

Правила ответственного исследования

Comindware разрешает исключительно добросовестное тестирование, направленное на подтверждение наличия уязвимости и подготовку отчета для Comindware.

Comindware запрещает (не ограничиваясь перечисленным):

  • действия, нарушающие доступность, целостность или конфиденциальность систем третьих лиц (атаки типа DoS/DDoS, разрушительные тесты, изменение или удаление данных);
  • попытки получить доступ к данным третьих лиц, их извлечение (эксфильтрацию) или использование;
  • социальную инженерию, фишинг, физический доступ к объектам или оборудованию;
  • эксплуатацию уязвимости сверх минимально необходимого для подтверждения её наличия;
  • тестирование на системах в промышленной эксплуатации без явного разрешения владельца системы;
  • требование вознаграждения или иных выплат в обмен на нераскрытие уязвимости.

Comindware оставляет за собой право на судебное преследование в случае нарушения Лицензионного соглашения конечного пользователя, положений настоящей Политики или применимого законодательства.

Координация и сроки

Comindware стремится рассматривать сообщения об уязвимостях и поддерживать коммуникацию в разумные сроки, однако не гарантирует конкретные сроки ответа, исправления или публикации информации.

По усмотрению Comindware имеет право:

  • запросить у исследователя дополнительные материалы или уточнения;
  • подтвердить или не подтвердить наличие уязвимости;
  • устранить уязвимость или принять её к сведению без обязательств по срокам исправления;
  • отклонить отчёт об уязвимости, если он выходит за рамки настоящей Политики, не относится к Comindware Platform или является дубликатом ранее представленного отчёта.

Публичное раскрытие

Срок публичного раскрытия

Исследователи обязаны воздерживаться от публичного раскрытия деталей уязвимости до то тех пор, пока не будут выполнены все следующие условия:

  • Comindware получит от исследователей письменный отчёт об уязвимости;
  • Comindware подтвердит уязвимость в письменной форме;
  • Comindware устранит уязвимость;
  • Comindware опубликует информацию об устранении уязвимости в очередном дайджесте устранённых уязвимостей (см. «Устранённые уязвимости»);
  • либо не истечёт разумный срок (не менее 180 дней с момента подтверждения компанией Comindware получения отчёта).

Решения о формате, содержании и сроках публичного раскрытия информации об уязвимостях принимает исключительно Comindware с учетом следующих факторов:

  • степени риска для пользователей Comindware Platform;
  • наличия случаев активной эксплуатации уязвимости;
  • готовности исправления или рекомендаций по смягчению;
  • интересов пользователей и общественной безопасности.

Отказ от публичного раскрытия

Comindware оставляет за собой право не раскрывать публично информацию об уязвимостях, если это может повысить риск для пользователей или нарушить конфиденциальность каких-либо сведений.

В таком случае сторонним исследователям запрещено раскрывать публично информацию об обнаруженных уязвимостях даже по истечении срока публичного раскрытия.

При публикации информации Comindware может упомянуть исследователя с его согласия.

Приоритет Политики Comindware

Приоритет имеет настоящая Политика Comindware.

Если правила, Политика или условия исследователя или третьей стороны противоречат настоящей Политике, всегда применяется настоящая Политика.

Comindware не принимает на себя каких бы то ни было обязательств, не предусмотренных настоящей Политикой, и не связана условиями, установленными исследователями или третьими сторонами.

Ограничения ответственности

Comindware:

  • не обязуется принимать к рассмотрению все сообщения или отвечать на все запросы;
  • не предоставляет вознаграждения (bug bounty) за сообщения об уязвимостях;
  • не гарантирует конкретные сроки устранения уязвимостей;
  • может изменить настоящую Политику в любое время без предварительного уведомления.

Сообщения об уязвимостях, соответствующие настоящей Политике и выполненные добросовестно, Comindware рассматривает как вклад в повышение безопасности Comindware Platform.

Связанные статьи

К началу

Номер Статьи: 5157
Размещено: Fri, Apr 3, 2026
Последнее обновление: Sat, Apr 11, 2026

Online URL: https://kb.comindware.ru/article/politika-v-otnoshenii-uyazvimostej-5157.html