Sicherheit ist uns wichtig
ATOSS ist die Sicherheit ihrer Produkte sehr wichtig. Dazu verfügen wir über einen umfassenden Prozess für einen sicheren Softwareentwicklungs-Lebenszyklus sowie klare Qualitäts- und Sicherheitsstandards für die Softwareentwicklung. Der sichtbarste Beweis für unser Engagement ist ein etablierter dedizierter Prozess zur Reaktion auf Sicherheitsprobleme.
Das ATOSS R&D-Team ist dafür verantwortlich, alle gemeldeten Sicherheitslücken zu untersuchen. Dabei arbeitet es eng mit den Personen an der Bereitstellung von Patches, die die Lücken gemeldet haben.
ATOSS informiert die Kunden über die Patches und deren Relevanz. Da die Integrität und Sicherheit des Geschäftsbetriebs für alle Unternehmen in allen Branchen essenziell ist, setzt sich ATOSS als Anbieter von Business-Software unbedingt dafür ein, in ihren Produkten die höchstmögliche Sicherheitsebene aufrechtzuerhalten. ATOSS unterstützt die verantwortungsbewusste Offenlegung von Sicherheitslücken.
Wenn Ihnen in einem unserer Softwareprodukte eine Sicherheitslücke aufgefallen ist – entweder in der neuesten oder in einer älteren Produktversion – teilen Sie uns das bitte mit.
Geben Sie ATOSS genügend Zeit zur Entwicklung passender Korrekturen
Das Beheben von Sicherheitslücken kann langwierig und beschwerlich sein: Wir entwickeln einen Patch, stellen sicher, dass er mit allen relevanten Softwareversionen kompatibel ist, führen umfassende Tests durch, damit die Korrekturen ohne Nebenwirkungen und fehlerfrei laufen und stellen ihn unseren Kunden zur Verfügung. Als Anbieter von Business-Software bieten wir nicht nur für die neueste Version Sicherheitskorrekturen an, sondern auch für viele ältere Versionen unserer Softwareprodukte. Das bedeutet, dass wir brauchbare Patches für eine große Palette an Produktversionen entwickeln und gründlich testen müssen. Das braucht Zeit.
Veröffentlichen Sie keine Sicherheitslücken, bevor ATOSS Kunden Zeit hatten, Korrekturen bereitzustellen
Die Bereitstellung von Patches für ATOSS Produkte ist üblicherweise komplizierter als ein Softwareupgrade auf einem Kunden-PC. Je nach Art der Sicherheitslücke sind für die Bereitstellung von Patches bzw. Updates in manchen Fällen Konfigurations- bzw. Bereitstellungsaufgaben hinsichtlich kundeninterner Beschränkungen oder Prozesse erforderlich. Einige unserer Kunden folgen beispielsweise regulären Patchzyklen. Unter Berücksichtigung dieser Umstände bitten wir alle Sicherheitsforscher, ATOSS Kunden genügend Zeit dafür zu geben, Patches in ihren Systemen zu implementieren. Als Faustregel schlagen wir vor, den Kunden eine Implementierungszeit von drei Monaten zuzugestehen, sobald der Patch von ATOSS freigegeben wurde. Unter Berücksichtigung unserer Kundeninteressen bitten wir alle Sicherheitsforscher, keine Informationen oder Tools in Umlauf zu bringen, die in dieser Zeit dazu beitragen könnten, die Sicherheitslücke auszunutzen. Bitte informieren Sie außerdem das R&D-Team mindestens drei Wochen im Voraus über alle Ihre zu veröffentlichenden Sicherheitshinweise und anstehenden externen Präsentationen mit Sicherheitsinhalt aus ATOSS Produkten in einer E-Mail an security@atoss.com, einschließlich des voraussichtlichen Inhalts.
