1. Порядок уведомления
После обнаружения уязвимости ONsec.ru обязуется уведомить разработчика уязвимого продукта.

1.1.
Разработчику направляется письмо с кратким описанием уязвимости, включающем в себя: название и версию уязвимого продукта, вектор атаки, контактные данные исследовательской группы ONsec.ru

1.2.
Если в течении 7 календарных дней с момента отправки письма (п.1.1) разработчик не выходит на связь по любому из предоставленных каналов, ему направляется повторное письмо.

1.3.
Если в течении 14 календарных дней с момента отправки первого письма с уведомлением (п.1.1) разработчик не выходит на связь по любому из предоставленных каналов, ONsec.ru оставляет за собой право опубликовать все данные касательно обнаруженной уязвимости в открытом доступе (см. п.3).

1.4.
Если в течении 14 календарных дней с момента отправки первого письма с уведомлением (п.1.1) разработчик выходит на связь по любому из предоставленных каналов, ONsec.ru в обязательном порядке отправляет в адрес разработчика письмо с подробным описанием найденной уязвимости. В таком письме могут содержаться технические детали или программы для реализации атаки.

2. Порядок публикации уязвимости
ONsec.ru обязуется отложить дату публикации уязвимости до выхода исправления, если соблюдаются некоторые условия.

2.1.
Исследовательская группа ONsec.ru выражает надежду, что разработчик сообщит о планируемой дате выхода исправления найденной уязвимости. Также ONsec.ru выражает готовность принять всяческое участие в исправлении уязвимости или разработке временного решения.

2.2.
В случае, если разработчик не сообщает планируемую дату выхода исправления, исследовательская группа ONsec.ru оставляет за собой право опубликовать все данные об обнаруженной уязвимости в открытых источниках (см. п.3) по истечению 14 календарных дней с момента первого ответа разработчика.

2.3.
В случае, если дата выхода исправления, сообщенная разработчиком превышает 50 календарных дней с момента отправки подробного описания уязвимости (см. п.1.4), исследовательская группа ONsec.ru оставляет за собой право опубликовать все данные об обнаруженной уязвимости в открытых источниках (см. п.3) по истечению этого срока.

2.4.
В случае, если в публичных источниках информации появился способ эксплуатации обнаруженной уязвимости или описание уязвимости (опубликованные не ислледовательской группой ONsec.ru), исследовательская группа ONsec.ru оставляет за собой право опубликовать все данные об обнаруженной уязвимости в открытых источниках (см. п.3).

2.5.
В случае, если разработчик ведет себя некорректно, например, публикует советы или методы исправления уязвимости до выхода исправления, не отвечает на письма и прочее, исследовательская группа ONsec.ru оставляет за собой право опубликовать все данные об обнаруженной уязвимости в открытых источниках (см. п.3).

3. Открытые источники обнаруженных уязвимостей
Найденные уязвимости публикуются исследовательской группой ONsec.ru исключительно в открытых источниках информации.

3.1.
В первую очеред, информация об уязвимости появляется на сайте исследовательской группы http://onsec.ru и на английском языке на сайте http://en.onsec.ru

3.2.
Допускается копирование сведений об уязвимостях и публикация на других сайтах при условии присутствия видимой ссылки на сайт исследовательской группы http://onsec.ru

Версия 1.0