Відповідальне розкриття

Дата набуття чинності: 27 січня 2026

Наш підхід

Коли ODINT виявляє вразливості в цифровій інфраструктурі урядів, ми балансуємо суспільний інтерес у прозорості з відповідальністю за мінімізацію шкоди.

Керівний принцип

Ми віримо, що публічне розкриття проблем безпеки зрештою покращує безпеку для всіх. Однак ми також визнаємо, що негайне розкриття критичних вразливостей може завдати шкоди.

Категорії розкриття

Критичні вразливості

Проблеми, що можуть призвести до негайної шкоди людям. Ми негайно повідомляємо постраждалі сторони та надаємо 30-90 днів для виправлення перед публічним розкриттям.

Проблеми високої серйозності

Значні слабкості безпеки, які можуть бути експлуатовані. Ми надаємо 60 днів попередження перед публікацією.

Загальні висновки

Відкрита інфраструктура, що представляє погану практику безпеки, але з обмеженим негайним ризиком. Ми можемо публікувати без попереднього повідомлення.

Типовий процес

День 0Вразливість виявлена та задокументована

День 1-7Початкове повідомлення надіслано постраждалій стороні

День 14Повторне повідомлення, якщо відповідь не отримана

День 30-90Вікно розкриття залежно від серйозності

Після дедлайнуПублічне розкриття з виправленням або без

Методи повідомлення

Ми намагаємося зв'язатися з постраждалими сторонами через:

Офіційні адреси контакту безпеки (security@, abuse@)
Опубліковані файли security.txt
Національні організації CERT/CSIRT
Прямий контакт з відповідними урядовими відомствами

Повідомити про вразливість у системах ODINT

Якщо ви знайшли проблему безпеки в інфраструктурі ODINT, повідомте про неї через нашу сторінку Контакт безпеки.