Sicherheitslücke gefunden? Erzähl es uns.
Sicherheitsforschung an Open Source ist ein Geschenk. Wir nehmen jede Meldung ernst, antworten binnen 48 Stunden, und behandeln dich mit Respekt — keine Anwälte, keine Drohungen, keine Verzögerung.
Diese Policy gilt für alle Mandari-Domains, das GitHub-Repo
mandariOSS/mandari
sowie selbst gehostete Mandari-Instanzen.
Was du testen darfst, und was nicht
Klare Grenzen schützen alle: dich, uns und unsere Nutzer:innen.
In Scope
Diese Bereiche darfst du prüfen
-
mandari.de& alle Subdomains -
Source-Code im
mandariOSS/mandariRepo - Docker-Images aus dem Mandari-Registry
- Selbst gehostete Mandari-Instanzen mit Erlaubnis der Betreiber
- Authentifizierung, Session-Management, RBAC
- SQL-Injection, XSS, CSRF, IDOR
Out of Scope
Bitte nicht, wir können nicht entgegnen
- DoS / DDoS jeglicher Art
- Social Engineering gegen Founder oder Nutzer:innen
- Physische Angriffe auf Hosting-Standorte
- OParl-Quellsysteme der Kommunen (nicht unser System)
- Drittanbieter-Dienste (Hetzner, Postmark, …)
- Automatisierte Scanner ohne Rückprüfung der Treffer
- Echte Nutzer-Daten, bitte nur eigene Test-Accounts
Vom Befund zur behobenen Lücke
Vier Schritte, klare Zeiten, Standard nach ISO/IEC 29147.
Meldung
Du schreibst an security@mandari.de
, gerne PGP-verschlüsselt. Beschreibung, PoC, betroffene URL.
Bestätigung
Wir antworten persönlich, bestätigen den Eingang und ordnen den Schweregrad nach CVSS 3.1 ein.
≤ 48 hBehebung
Patch wird entwickelt, getestet und ausgerollt. Bei kritischen Lücken Notfall-Release binnen 7 Tagen.
≤ 90 TageDisclosure
Nach dem Patch: Security-Advisory mit CVE, Erwähnung in der Hall of Fame (sofern gewünscht), Post-Mortem im Blog.
+14 TageSafe Harbor für gutgläubige Forschung
Solange du dich an diese Policy hältst, garantieren wir:
Keine rechtlichen Schritte
Wir verzichten auf zivil- oder strafrechtliche Verfolgung bei gutgläubiger Forschung, kein Hackerparagraph 202c StGB-Drohbrief.
Persönliche Antwort
Kein Ticket-Bot, kein Auto-Responder. Du redest direkt mit dem Founder oder mit der Person, die das Issue tatsächlich behebt.
Anerkennung
Erwähnung in Hall of Fame & Security-Advisory. Auf Wunsch persönliches Empfehlungsschreiben.
Sicherheitsforscher:innen, denen wir danken
Hier ist noch viel Platz
Mandari ist neu, bisher keine eingegangenen Sicherheitsmeldungen. Du könntest die erste Person hier sein. Wir versprechen ehrliche Anerkennung statt Marketing-Floskeln.
Erste Meldung schickenVerschlüsselt schreiben
Für vertrauliche Meldungen verwende bitte unseren PGP-Schlüssel. Fingerprint zur Verifikation:
4096R/A1B2 C3D4 E5F6 0789 0ABC · DEF1 2345 6789 ABCD EF01
Der echte Fingerprint wird mit dem ersten Release publiziert. Aktueller Stand: PGP-Setup ist in Vorbereitung.
Du hast was gefunden?
Schreib uns, wir bestätigen binnen 48 Stunden, koordinieren mit dir und behandeln deine Meldung mit dem Respekt, den sie verdient.