Program Responsible Disclosure K0NSULT — bezpieczne kanały i koordynowane ujawnianie podatności bezpieczeństwa.
No test without authorization
Testowanie bezpieczeństwa dopuszczalne wyłącznie w ramach upoważnionego zakresu. Bez eksfiltracji danych, bez ataków DoS, bez utrzymywania dostępu.
Zakres testowania. Testuj wyłącznie komponenty i funkcjonalności w ramach upoważnionego zakresu testowania. Zabronione: eksfiltracja danych, ataki typu denial-of-service (DoS), utrzymywanie lub powiększanie dostępu. Wszystkie testy muszą być przeprowadzone z autoryzacją K0NSULT Sp. z o.o.
Status endpointu. Endpoint `/api/cst/report/vulnerability` uruchamiany w Fali 3 (Q3 2026). Do tego czasu: zgłoszenia podatności przesyłaj na adres security@k0nsult.cloud wraz z pełnym opisem.
Proces koordynowanego ujawnienia
Wszystkie podatności są przetwarzane w trybie Responsible Disclosure zgodnie z poniższym cyklem:
Zgłoszenie
Przesłanie podatności za pośrednictwem tego formularza lub e-maila security@k0nsult.cloud z pełnym opisem i PoC.
Potwierdzenie
K0NSULT potwierdza otrzymanie zgłoszenia w ciągu 24 godzin i przypisuje identyfikator śledzenia.
Analiza
Zespół bezpieczeństwa K0NSULT analizuje podatność, weryfikuje PoC i klasyfikuje severity.
Wdrożenie fixu
Publikowanie aktualizacji bezpieczeństwa w zgodzie z czasem na naprawę określonym dla poziomu P (P0-P3).
Publikacja
Zgodnie z ustaleniami, opublikowanie raportu z potwierdzeniem odkrytej podatności i autora raportu (lub anonimowo na życzenie).
Zastrzeżenie. Materiał ma charakter informacyjno-bezpieczeństwa. Nie stanowi certyfikacji,
nie jest opinią jednostki notyfikowanej ani konkluzją prawną
(not a certification · not a notified body · not a legal conclusion).
Program Responsible Disclosure stosuje zasadę koordynowanego ujawniania — nie ogłaszamy podatności publicznych bez uprzedniej zgody.