Befunde

Übersicht Befunde

Die Prüfung durch unabhängige Expertinnen und Experten erlaubt es, Schwachstellen zu finden und das E-Voting-System zu verbessern.

Bestätigte Schwachstellen und weitere Meldungen sind auf GitLab aufgeführt.

Befund melden

Meldungen werden eingehend von unseren Spezialistinnen und Spezialisten analysiert und helfen uns, das E-Voting-System zu verbessern. Es ist uns ein Anliegen, jeden Befund rasch zu prüfen und zu beantworten.

Nachstehend ist der Prozess rund um die Meldung eines Befundes beschrieben.

  • Wir prüfen eingehende Meldungen auf Vollständigkeit und fragen bei Bedarf nach, um weitere Informationen zu erhalten.
  • Danach wird ein Ticket erstellt, das unsere zuständige Fachperson analysiert.
  • Die Melderin oder der Melder erhält eine Information, dass seine Meldung in Bearbeitung ist.
  • Sobald wir die Analyse abgeschlossen haben und einen Befund bestätigen konnten, wird er als «bestätigter Befund» klassifiziert und auf GitLab veröffentlicht.
  • Alle Meldungen, die als «hoch» oder «kritisch» eingestuft werden, müssen bei der Meldung als vertraulich gekennzeichnet werden und werden vertraulich bearbeitet. In diesen Fällen gilt die «Coordinated Vulnerability Disclosure».
  • Jeder Melderin und jedem Melder steht es zudem unabhängig vom Schweregrad der Meldung frei, diese der Post vertraulich einzureichen.

Bitte berücksichtigen Sie unseren Code of Conduct.

Coordinated Vulnerability Disclosure

Damit wir die Stabilität und Sicherheit des E-Voting Systems gewährleisten können, setzen wir auf eine koordinierte Offenlegung von Schwachstellen (CVD). Sie können den Prozess wie folgt unterstützen:

  • Die Melderin oder der Melder darf ihre Befunde veröffentlichen: Bitte geben Sie uns bei kritischen Befunden maximal 90 Tage, um Ihre Meldung zu analysieren. Sobald unsere Analyse abgeschlossen ist, geben wir grünes Licht für die Veröffentlichung.
  • Die Post veröffentlicht Befunde regelmässig und transparent auf ihrer Webseite. Die Melderin oder der Melder wird anerkannt und gewürdigt, kann aber auch anonym bleiben.

So melden Sie Ihren Befund

Es stehen zwei Kanäle zur Verfügung, um uns Meldungen zuzustellen:

  • Auf GitLab
  • Per Online-Formular

GitLab

Vorzugsweise melden Sie uns Ihre Befunde auf GitLab. Hier haben Sie die Übersicht, welche Meldungen bereits eingegangen sind. Sie können sich mit Ihrem GitLab-Account einloggen. Wenn Sie kein GitLab-Konto haben, können Sie sich neu registrieren oder mit Nutzerdaten von akzeptierten Plattformen wie Google oder Twitter anmelden.

Weiter zu GitLab

Online-Formular

  • Anhang (optional)

    Aktuelles Dokument: - Datei entfernen

Definition Schweregrad

Die Relevanz eines Vorfalls kann als kritisch, hoch, mittel oder tief eingestuft werden. Nachstehend findet sich eine Beschreibung zur Kategorisierung der Ereignisse.

  • Kritisch: Meldung mit kritischem oder blockierendem Problem
  • Hoch: Meldung mit dringender Priorität, wichtiger und zeitkritischer Befund
  • Mittel: Meldung mit Standard-Priorität, wichtiger Befund
  • Tief: Meldung ohne Auswirkung auf Funktionalität oder Daten (z.B. Layoutfehler oder Rechtschreibfehler)

CVE-Programm

Die Post unterstützt die Common Vulnerabilities and Exposures (CVE). Für bestätigte kritische Schwachstellen begrüssen wir die Eingabe eines CVE und unterstützen die Melderin oder den Melder dabei.