33 lines
1.2 KiB
Markdown
33 lines
1.2 KiB
Markdown
# Security Policy
|
|
|
|
## Sicherheitslücken melden
|
|
|
|
Wenn du eine Sicherheitslücke in diesem SDK oder in der hightrusted CAPTURE API
|
|
findest, **öffne kein öffentliches Issue**. Stattdessen:
|
|
|
|
- **E-Mail:** `security@hightrusted.net`
|
|
- **PGP-Key:** veröffentlicht auf https://hightrusted.net/.well-known/security.txt
|
|
|
|
Bitte gib in der Meldung an:
|
|
|
|
- Betroffenes Repository / SDK-Version
|
|
- Beschreibung der Schwachstelle und potenzielle Auswirkung
|
|
- Schritte zur Reproduktion
|
|
- Falls vorhanden: Proof-of-Concept-Code
|
|
|
|
Wir bestätigen den Eingang innerhalb von 48 Stunden und arbeiten an einer
|
|
zeitnahen Behebung. Verantwortliche Offenlegung wird honoriert — wir nennen
|
|
Reporter (auf Wunsch) in den Release-Notes.
|
|
|
|
## Unterstützte Versionen
|
|
|
|
Während der `v0.x`-Phase werden nur die jeweils aktuellste Minor-Version und
|
|
deren letzte zwei Patch-Versionen aktiv mit Sicherheits-Updates versorgt.
|
|
|
|
Ab `v1.0` gilt: aktuelle Major + vorherige Major (12 Monate Übergangsfrist).
|
|
|
|
## Out of Scope
|
|
|
|
Diese Policy gilt für die SDKs in diesem Repository und die zugehörige
|
|
hightrusted CAPTURE API. Für Schwachstellen in anderen hightrusted-Produkten
|
|
(SIGN, ID, MEET, PAY, …) gilt jeweils die dortige `SECURITY.md`.
|