Beitragen

Übersicht

Die Prüfung durch unabhängige Expertinnen und Experten erlaubt es, Schwachstellen zu finden und das E-Voting-System zu verbessern.

Bestätigte Schwachstellen und weitere Meldungen sind auf GitLab aufgeführt.

So können Sie beitragen

  • Vorzugsweise melden Sie uns Ihre Befunde auf GitLab. Hier haben Sie eine Übersicht, über die bereits eingegangenen Meldungen
  • Alternativ können Sie ihre Meldung über ein Online-Formular eingeben.
  • Bitte lesen Sie den Code of Conduct durch, bevor Sie uns eine Meldung eingeben.

Öffentliches Bug-Bounty-Programm

Wir starten in der zweiten Jahreshälfte 2021 das öffentliche Bug-Bounty-Programm zum neuen E-Voting-System. Haben Sie Interesse, teilzunehmen? Dann melden Sie sich bei uns. Wir informieren Sie, sobald das Programm startet.

Ich bin interessiert

So prüfen wir Meldungen

Meldungen werden eingehend von unseren Spezialistinnen und Spezialisten analysiert und helfen uns, das E-Voting-System zu verbessern. Es ist uns ein Anliegen, jeden Befund rasch zu prüfen und zu beantworten.

Nachstehend ist der Prozess rund um die Meldung eines Befundes beschrieben.

  • Wir prüfen eingehende Meldungen auf Vollständigkeit und fragen bei Bedarf nach, um weitere Informationen zu erhalten.
  • Danach wird ein Ticket erstellt, das unsere zuständige Fachperson analysiert.
  • Die Melderin oder der Melder erhält eine Information, dass seine Meldung in Bearbeitung ist.
  • Sobald wir die Analyse abgeschlossen haben und einen Befund bestätigen konnten, wird er als «bestätigter Befund» klassifiziert und auf GitLab veröffentlicht.
  • Bei allen Meldungen, die als «hoch» oder «kritisch» eingestuft werden, muss bei der Meldung das Feld «vertraulich» angewählt  werden. Diese werden vertraulich bearbeitet. In diesen Fällen gilt die «Coordinated Vulnerability Disclosure».
  • Jeder Melderin und jedem Melder steht es zudem unabhängig vom Schweregrad der Meldung frei, diese der Post vertraulich einzureichen.

Bitte berücksichtigen Sie unseren Code of Conduct.

So veröffentlichen wir Meldungen

Coordinated Vulnerability Disclosure

Damit wir die Stabilität und Sicherheit des E-Voting Systems gewährleisten können, setzen wir auf eine koordinierte Offenlegung von Schwachstellen (CVD). Sie können den Prozess wie folgt unterstützen:

  • Die Melderin oder der Melder darf ihre Befunde veröffentlichen: Bitte geben Sie uns bei kritischen Befunden maximal 90 Tage, um Ihre Meldung zu analysieren. Sobald unsere Analyse abgeschlossen ist, geben wir grünes Licht für die Veröffentlichung.
  • Die Post veröffentlicht Befunde regelmässig und transparent auf ihrer Webseite. Die Melderin oder der Melder wird anerkannt und gewürdigt, kann aber auch anonym bleiben.

CVE-Programm

Die Post unterstützt die Common Vulnerabilities and Exposures (CVE). Für bestätigte kritische Schwachstellen begrüssen wir die Eingabe eines CVE und unterstützen die Melderin oder den Melder dabei.