kisenon

Sicherheit

Responsible-Disclosure-Richtlinie, Kontakt und Scope für Kisenon.

Diese Seite ist die kanonische Sicherheitsrichtlinie für Kisenon. Sie ist das Ziel, das von /.well-known/security.txt unter RFC 9116 beworben wird.

Eine Schwachstelle melden

Schreiben Sie an security@kisenon.com mit:

  • Einer klaren Beschreibung des Problems.
  • Schritten zur Reproduktion — konkrete Befehle, Request-Payloads oder ein kleiner Proof-of-Concept. Bauchgefühl ist nicht umsetzbar.
  • Dem betroffenen Hostnamen (kisenon.com, api.test.kisenon.com, einem Endpoint- Host oder anderem) und dem Datum und der Uhrzeit, zu der das Problem beobachtet wurde.
  • Ihrem bevorzugten Handle für eine öffentliche Anerkennung oder anonymous.

Bitte melden Sie Sicherheitsprobleme nicht im öffentlichen GitHub-Tracker. Der Tracker ist für Produkt-Bugs und Feature-Anfragen; er ist weltweit lesbar und ungeeignet für ungefixte Schwachstellen.

Reaktionsziele

Kisenon ist in der Alpha und wird von einem kleinen Team betrieben. Wir streben an:

  • Bestätigung innerhalb von zwei Geschäftstagen.
  • Triage und Schweregradbewertung innerhalb von fünf Geschäftstagen.
  • Fix oder Mitigation auf einer Zeitleiste proportional zum Schweregrad. Kritische Probleme haben Vorrang vor Feature-Arbeit.

Wir halten Sie auf dem Laufenden, während wir Triage und Behebung durchlaufen. Sobald ein Fix ausgeliefert wurde, koordinieren wir die Offenlegung mit Ihnen.

Scope

Im Scope:

  • Der kisenon.com-Apex und seine von Kisenon betriebenen Subdomains (api.test.kisenon.com, cp.kisenon.com, Endpoint-Hosts unter *.kisenon.com).
  • Die Control-Plane-HTTP-API, die keon-CLI und die Web-Konsole.
  • Authentifizierung und Session-Handling: NextAuth-Google/GitHub-Anmeldung, der cp-signierte JWT-Austausch, der CLI-Loopback-OAuth-Flow und die Ausstellung und der Widerruf von API-Schlüsseln (nsk_…).
  • Isolation: jeder Pfad, der eine Projekt- oder Organisationsgrenze ohne Autorisierung überschreitet, die Metadaten einer anderen Organisation leakt oder das Pro-Endpoint-Netzwerkperimeter durchbricht.

Außerhalb des Scopes:

  • Denial of Service durch reines Traffic-Volumen gegen geteilte Infrastruktur. Rate-Limit-Funde gegen dokumentierte Limits sind willkommen; Fluten ist keine Schwachstelle.
  • Berichte, die ausschließlich auf automatisierter Scanner-Ausgabe ohne funktionierenden Proof-of-Concept basieren.
  • Social Engineering von Kisenon-Mitarbeitern oder Alpha-Testern.
  • Probleme in Drittanbieterdiensten, von denen wir abhängen (GitHub-OAuth, Google- OAuth, MetalLB, k3s, Postgres selbst) — bitte melden Sie diese upstream. Kisenon-seitige Mitigationen sind weiterhin im Scope.

Safe-Harbour

Wir werden keine rechtlichen Schritte gegen Forscher unternehmen, die:

  • Sich in gutem Glauben bemühen, dieser Richtlinie zu entsprechen.
  • Die Beeinträchtigung der Dienstverfügbarkeit für andere Organisationen vermeiden.
  • Keine Daten über das Minimum hinaus exfiltrieren, das zur Demonstration des Problems nötig ist. Stoppen Sie, sobald der Zugang nachgewiesen ist; enumerieren Sie nicht.
  • Das Problem nicht öffentlich offenlegen, bevor ein Fix ausgeliefert wurde oder 90 Tage seit der Meldung vergangen sind, je nachdem, was früher eintritt.

PGP

PGP-verschlüsselte Berichte werden akzeptiert, sind aber nicht erforderlich. Wenn Sie einen öffentlichen Schlüssel benötigen, fordern Sie einen in Ihrer ersten E-Mail an, und wir antworten mit dem aktuellen Schlüssel-Fingerabdruck out of band.

Verwandtes

Fehlerbehebung

Häufige Fehlermodi der Alpha-Ära und wie man sich erholt.

Status

Wo Sie Live-Signale von der Kisenon-Control-Plane prüfen können.

On this page

Eine Schwachstelle meldenReaktionszieleScopeSafe-HarbourPGPVerwandtes