Security Policy

Als Unternehmen aus dem Bereich Cybersecurity nimmt ONEKEY die Sicherheitsrichtlinien sehr ernst. Um Transparenz im Umgang mit Sicherheitslücken im Produkt zu gewährleisten, finden Sie auf dieser Seite alle relevanten Informationen zur Meldung von Sicherheitslücken und dem entsprechenden Offenlegungsprozess.

Datenschutzbeauftragter

Wenn Sie Fragen oder Bedenken zum Datenschutz haben, wenden Sie sich bitte an uns unter privacy@onekey.com

ONEKEY GmbH

Toulouser Allee 19A
40211 Düsseldorf

Deutschland

Datenverantwortlicher

Verantwortlich für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten im Sinne von Art. 4 Nr. 7 DSGVO.

ONEKEY GmbH

Toulouser Allee 19A

40211 Düsseldorf

Deutschland

Inhaltsverzeichnis
Beispiel H2

SIND SIE BEREIT, IHR RISIKOMANAGEMENT ZU VERBESSERN?

Machen Sie Cybersicherheit und Compliance mit ONEKEY effizient und effektiv.

Eine Demo buchen

Reporting

Als Sicherheitsunternehmen verpflichtet sich ONEKEY, dass alle seine Produkte solide und sicher implementiert sind.

Alle Sicherheitslücken in ONEKEY-Produkten sollten per E-Mail an security@onekey.com  gemeldet werden. Wir empfehlen Ihnen dringend, den Inhalt Ihrer E-Mail mit unserem öffentlichen PGP-Schlüssel (siehe unten) zu verschlüsseln. Sicherheitslücken dürfen nicht über öffentliche Github-Issues gemeldet werden.

In Übereinstimmung mit der Responsible Full Disclosure Policy (RFPolicy) v2.0 wird Ihre E-Mail innerhalb von fünf Tagen bestätigt. Das Sicherheitsteam wird Sie dann mindestens alle fünf Tage über den Fortschritt der Fehlerbehebung und die vollständige Bekanntgabe auf dem Laufenden halten.

Offenlegungspolitik

ONEKEY verfügt über einen 5-stufigen Offenlegungsprozess.

  1. Der Sicherheitsreport wird entgegengenommen und einem primären Bearbeiter zugewiesen. Diese Person koordiniert den Behebungs- und Freigabeprozess.
  1. Das Problem wird bestätigt und eine Liste aller betroffenen Versionen erstellt.
  1. Der Code wird überprüft, um mögliche ähnliche Probleme zu finden.
  1. Korrekturen werden vorbereitet und auf die neueste Version angewendet. Diese Korrekturen werden nicht in das öffentliche Repository übernommen, sondern bis zur Bekanntgabe lokal gespeichert.
  1. Am Tag der Veröffentlichung wird die Empfehlung in das Wiki des betroffenen Repositorys gestellt, die Änderungen werden in das öffentliche Repository übernommen und neue Builds werden in den Package-Repositorys bereitgestellt. Eine Kopie der Empfehlung wird dann in den Versionshinweisen veröffentlicht.

Dieser Prozess kann einige Zeit in Anspruch nehmen, insbesondere wenn eine Abstimmung mit den Verantwortlichen anderer Projekte erforderlich ist. Wir werden uns bemühen, den Fehler so schnell wie möglich zu beheben, jedoch ist es wichtig, dass wir den oben beschriebenen Release-Prozess befolgen, um sicherzustellen, dass die Offenlegung einheitlich erfolgt.

Wir werden niemals stille Korrekturen gemeldeter Sicherheitsprobleme in unseren Code einfließen lassen. Unsere Sicherheitskorrekturen enthalten immer explizite Commit-Meldungen, in denen das Problem und die Korrektur detailliert beschrieben werden und gegebenenfalls auf eine CVE verwiesen wird. In unseren Sicherheitshinweisen wird der Melder immer mit seinem Namen, seinem Benutzernamen oder seiner E-Mail-Adresse genannt. Wenn der Melder anonym bleiben möchte, wird er als „anonymer Researcher” genannt.

PGP Key

-----BEGIN PGP PUBLIC KEY BLOCK-----
mQENBGJWa+gBCADwVEuade39t7qC2L997zAbHg5MvmqgL/mgAz0wc+SnB60lKP1S
ALAedVVs68ODrNIy5Ob542oXvKVaiAGPDjpD76TTHUaONKCtAWQMjd1FG/zi7U7F
wtzON22xc9pOlbf7Vind1bV6eF8rSRt8xIvhYIs6wl6cqHOAqMfOzQp/FqA9LVkd
KZwHTwcIeXm2simpNk6GkjVVjy6QRc3tO0KpLyfUGNLrUBhA9tNtzjbZ5nUESIuE
FNgCai0pX89h8PuXiRABDQq4SVxq9+Wl3xkdX0gck444fQLLRxpYVpl4mBodY79/
Hl1MuYFzm4xgBHD5LEeZ9wgqFSRlklXGI+URABEBAAG0GnJlc2VhcmNoQGlvdC1p
bnNwZWN0b3IuY29tiQFOBBMBCAA4FiEE7X8jOwd94T3HaMCoSogMvqTieacFAmJW
a+gCGwMFCwkIBwIGFQoJCAsCBBYCAwECHgECF4AACgkQSogMvqTieaePPAf/XRO3
SZppFI+d9FLwzL4in8dMFAsGWOS+HzifCisNJ4ERHyyD1UK1ZlS0FyXfoylUIINl
62MjzGVrUj6p6i3qTuOjymOJYhR3I3CKLGUh5JA+DPQxJ9+kHTQbUpxvXJQ8P2BS
x3Cz11zu9EDMzEC2hbchANhJ8pUnQhAeuSbAwAxzGEvXqwm789IvuXFkGZkAR60J
eQnbvgT1Ij2Awq7oOBmOEQ79MzvB7m+Bd8uQQCOxqNCX+2TTH+PKC/2x0RwlyYG9
yjnUyyPttyCc8dkjUiirchhE9g5kYCUNmprWw7Pr5pO+5Wuwk+1DwYGXie81aJkZ
jWqTE90EvmMbatGf4LkBDQRiVmvoAQgA0d546TrhcBPh3nbiE++kFz+Pne9fdorv
3ln2zMmFxtn6f4eNdwPlnu1vyTqTr0F/Sb39FU1t7c1UHfxbqvYHfExEKjI9Vzzy
74/rRK2RCO1PoUM4X+ngy13V4FH0EZNy0srXHZsD2TqWLCtsA34k87wBUizFaFUa
tI1Dg8ambo9i/7flovC1y3oX/hK+Ct6ey5r/SZ0gZ4esZSRb8ogddumZRFcakR6o
Vz91rHjAvvE4bxC1ioCiX0YXhst/GawwshZeq26Ju96QZQ/kSb4vwGQ1ThtSEsD4
rypZopdv4U+JqwBlLpsL71iF+/wiEXIgja1zQc06cI9YMPKcAZSA+QARAQABiQE2
BBgBCAAgFiEE7X8jOwd94T3HaMCoSogMvqTieacFAmJWa+gCGwwACgkQSogMvqTi
eaf7qwgAwN20J6wCUZmBD/sh27fmmpmsKGi86S8dN8Dt6QP9et5L9yMwGuxUuiLU
SByuBVCs6MvJGtyg5r1ZUbzevb3Ge7I4PPWGqnSiydxgCo8psmM7T2vpruKayfCb
FkYlwaoTAR9vD4rmftJO+X0fxwOvNtS6Xv4JNugUfeSEk4hIm5GPabSBWFd4imfy
QnTDT/JvV/HOf6LC1Nonz9aiwr6+F6MXQihZKGiK/tDoWrB5404p6JToLpeFcVaT
vylQcgCz/sFGLc4uV7XEobCDZpfP5UC+hjXpIorrTmKMSLotq8s5vx84W3qeZzgt
Gh7fzoVy9KKksJH0j1eFpBa+FgJM8g==
=obzE
-----END PGP PUBLIC KEY BLOCK-----