Sicherheit

OXID eSales ist ein Open Source-Softwarehersteller und nimmt Sicherheitsfragen sehr ernst.

Melden Sie uns sicherheitsrelevante Probleme.

Melden eines Sicherheitsproblems

Wenn Sie ein Sicherheitsproblem in einem unserer Produkte oder Dienste entdeckt haben, setzen Sie sich umgehend mit uns in Verbindung.

Verfahren

  • Senden Sie eine E-Mail an security@oxid-esales.com.
  • Wir bestätigen, dass die E-Mail oder der Fehlerbericht bei OXID eSales eingegangen ist.
  • Wir informieren Sie über unsere Fortschritte bei der Prüfung und Behebung der Schwachstelle sowie über das voraussichtliche Datum, an dem eine Sicherheitsbehebung oder eine neue Version verfügbar sein wird.
  • OXID eSales vereinbart gerne mit Ihnen ein Embargo-Datum, an dem Sie ein Security Bulletin herausgeben können, so dass Sie – außer uns – die erste Person sind, die die Schwachstelle an die Öffentlichkeit meldet.
    OXID eSales behandelt generell alle Meldungen vertraulich und anonym. Aber wenn Sie das möchten, nennen wir Sie gerne in unserem Security Bulletin als denjenigen, der die Schwachstelle entdeckt hat.

Weitere Informationen darüber, wie wir mit Sicherheitsproblemen umgehen, finden Sie in unserem OXID eSales Security Whitepaper.

Informationspolitik

Unser Grundsatz ist es, das öffentliche Wissen über ein Sicherheitsproblem solange zu beschränken, bis wir eine Lösung dafür anbieten.

Warum bitten wir Sie, uns vorher zu informieren und ein Embargodatum zu vereinbaren? Steht das nicht im Widerspruch zum Konzept der offenen Kommunikation?

Nein. Es ist für alle Shop-Betreiber von Vorteil, wenn die Schwachstelle der Öffentlichkeit erst dann bekannt wird, wenn sie behoben ist.

Andernfalls liefen Shop-Betreiber Gefahr, öffentlich bekannten, aber noch nicht behobenen Sicherheitslücken ausgesetzt zu sein.

Wenn Sie Fragen zum Meldeverfahren für Sicherheitsprobleme haben, wenden Sie sich an security@oxid-esales.com.

Unterstützte Versionen

Wenn wir neue Sicherheitshinweise veröffentlichen, prüfen wir nur, ob unterstützte OXID eShop-Versionen betroffen sind.

Ältere, nicht unterstützte Versionen können dieselben Sicherheitslücken aufweisen, müssen es aber nicht.

Sicherheitskorrekturen oder Fehlerbehebungen für ältere Versionen bietet OXID eSales nicht an.

Wenn Sie eine ältere Version verwenden, aktualisieren Sie Ihre OXID eShop-Installationen.

Module und Erweiterungen

Wenn Sie ein Sicherheitsproblem in

  • einer unserer Erweiterungen gefunden haben, senden Sie uns eine Nachricht über security@oxid-esales.com.
  • einer Erweiterung eines Drittanbieters gefunden haben, versuchen Sie zuerst, den Entwickler dieser Erweiterung zu kontaktieren.
    Falls Sie den Autor nicht finden können, keine Antwort erhalten oder ähnliche Probleme haben, kontaktieren Sie uns ebenfalls.

Informationskanäle

OXID eSales informiert Sie über folgende Kanäle:

  • Sicherheitsbulletins, die wir auf docs.oxid-esales.com unter Security-Bulletins veröffentlichen werden
  • E-Mails zu neuen Releases
  • Newsletter
  • Sicherheits-Mailinglisten, um andere Hersteller und Linux-Distributoren über das Sicherheitsbulletin zu informieren

Sobald unsere Ingenieure ein Problem verifiziert und behoben haben, setzen wir ein Embargo-Datum fest, nach dem ein Sicherheitsbulletin für die Allgemeinheit verfügbar gemacht wird.

Dies geschieht entweder, sobald ein Fix für bestehende Versionen verfügbar ist, oder sobald eine neue Version herauskommt, die den Sicherheitsfix enthält.

OXID eSales wird keine Sicherheitslücken öffentlich bekanntgeben, die wir noch nicht in stabilen Versionen behoben haben.

Enge Partner von OXID eSales erhalten eine Benachrichtigung über das bevorstehende Bulletin etwa 48-96 Stunden bevor es der Öffentlichkeit zur Verfügung gestellt wird.