Responsible Disclosure · RFC 9116

Sicherheitslücke gefunden? Erzähl es uns.

Sicherheitsforschung an Open Source ist ein Geschenk. Wir nehmen jede Meldung ernst, antworten binnen 48 Stunden, und behandeln dich mit Respekt — keine Anwälte, keine Drohungen, keine Verzögerung.

Diese Policy gilt für alle Mandari-Domains, das GitHub-Repo mandariOSS/mandari sowie selbst gehostete Mandari-Instanzen.

Antwort binnen 48 h
Disclosure-Zeitraum: 90 Tage
Safe Harbor für gutgläubige Forschung
Hall of Fame & Anerkennung
Scope

Was du testen darfst, und was nicht

Klare Grenzen schützen alle: dich, uns und unsere Nutzer:innen.

In Scope

Diese Bereiche darfst du prüfen

  • mandari.de & alle Subdomains
  • Source-Code im mandariOSS/mandari Repo
  • Docker-Images aus dem Mandari-Registry
  • Selbst gehostete Mandari-Instanzen mit Erlaubnis der Betreiber
  • Authentifizierung, Session-Management, RBAC
  • SQL-Injection, XSS, CSRF, IDOR

Out of Scope

Bitte nicht, wir können nicht entgegnen

  • DoS / DDoS jeglicher Art
  • Social Engineering gegen Founder oder Nutzer:innen
  • Physische Angriffe auf Hosting-Standorte
  • OParl-Quellsysteme der Kommunen (nicht unser System)
  • Drittanbieter-Dienste (Hetzner, Postmark, …)
  • Automatisierte Scanner ohne Rückprüfung der Treffer
  • Echte Nutzer-Daten, bitte nur eigene Test-Accounts
So läuft's

Vom Befund zur behobenen Lücke

Vier Schritte, klare Zeiten, Standard nach ISO/IEC 29147.

01

Meldung

Du schreibst an security@mandari.de , gerne PGP-verschlüsselt. Beschreibung, PoC, betroffene URL.

Tag 0
02

Bestätigung

Wir antworten persönlich, bestätigen den Eingang und ordnen den Schweregrad nach CVSS 3.1 ein.

≤ 48 h
03

Behebung

Patch wird entwickelt, getestet und ausgerollt. Bei kritischen Lücken Notfall-Release binnen 7 Tagen.

≤ 90 Tage
04

Disclosure

Nach dem Patch: Security-Advisory mit CVE, Erwähnung in der Hall of Fame (sofern gewünscht), Post-Mortem im Blog.

+14 Tage
Unsere Zusagen an dich

Safe Harbor für gutgläubige Forschung

Solange du dich an diese Policy hältst, garantieren wir:

Keine rechtlichen Schritte

Wir verzichten auf zivil- oder strafrechtliche Verfolgung bei gutgläubiger Forschung, kein Hackerparagraph 202c StGB-Drohbrief.

Persönliche Antwort

Kein Ticket-Bot, kein Auto-Responder. Du redest direkt mit dem Founder oder mit der Person, die das Issue tatsächlich behebt.

Anerkennung

Erwähnung in Hall of Fame & Security-Advisory. Auf Wunsch persönliches Empfehlungs­schreiben.

Hall of Fame

Sicherheitsforscher:innen, denen wir danken

Hier ist noch viel Platz

Mandari ist neu, bisher keine eingegangenen Sicherheitsmeldungen. Du könntest die erste Person hier sein. Wir versprechen ehrliche Anerkennung statt Marketing-Floskeln.

Erste Meldung schicken

Verschlüsselt schreiben

Für vertrauliche Meldungen verwende bitte unseren PGP-Schlüssel. Fingerprint zur Verifikation:

4096R/A1B2 C3D4 E5F6 0789 0ABC · DEF1 2345 6789 ABCD EF01

Der echte Fingerprint wird mit dem ersten Release publiziert. Aktueller Stand: PGP-Setup ist in Vorbereitung.

Du hast was gefunden?

Schreib uns, wir bestätigen binnen 48 Stunden, koordinieren mit dir und behandeln deine Meldung mit dem Respekt, den sie verdient.