Melden einer Schwachstelle

Wenn Sie eine Schwachstelle in Ruby on Rails entdeckt haben, prüfen Sie zunächst, ob sie eine aktuell unterstützte Version von Ruby on Rails betrifft. Die Infos dazu finden Sie in der offiziellen Security Policy von Ruby on Rails. Falls dies der Fall ist, falls Sie unsicher sind, oder falls die Schwachstelle eine Version betrifft, die erst vor kurzem ihr End-of-Life erreicht hat, melden Sie die Lücke bitte nicht bei uns, sondern direkt beim Ruby on Rails-Team.

Falls Sie ein Problem gefunden haben, das eine der Rails LTS-Versionen betrifft, melden Sie dies bitte per E-Mail an railslts-security@makandra.de. Für solche Meldungen bieten wir ein Bug-Bounty-Programm an, das dem offiziellen Rails-Programm ähnelt.

Wir zahlen Prämien zwischen 1.300€ und 1.800€, abhängig von der Schwere der Schwachstelle. Um für die Prämie berücksichtigt zu werden, muss Ihr Bericht eine kritische Schwachstelle eindeutig nachweisen.

Kriterien einer Schwachstelle:

• Die Schwachstelle muss die Integrität oder Vertraulichkeit eines Systems vollständig kompromittieren (z. B. durch willkürliche Code-Ausführung, universelle SQL-Injection oder Ähnliches).
• Sie darf keine aktuell unterstützte, offizielle Ruby on Rails-Versionen betreffen (laut der offiziellen Security Policy).
• Sie darf nicht bereits in einer offiziellen Ruby on Rails-Version bekannt gegeben oder behoben worden sein.

Die Berücksichtigung und die Höhe der Prämie werden ausschließlich von der makandra GmbH festgelegt.

Wir ermutigen Sie auch, weniger kritische Schwachstellen zu melden, selbst wenn diese nicht für eine Prämie qualifiziert sind. 

In solchen Fällen nennen wir Sie namentlich bei der Offenlegung.