<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=2592941450723103&amp;ev=PageView&amp;noscript=1">
Jetzt testen
Kontakt
Das BugBounty@AxonIvy-Programm

Hilf uns, Axon Ivy noch besser zu machen!

Hast du kritische Sicherheitslücken in unseren Tools (Designer, Engine, Portal) oder unserem Open-Source-Code entdeckt, den wir zur Verfügung stellen auf der Developer Webseite , dem Axon Ivy Github und dem Axon Ivy Marketplace?
Dann melde sie uns!

Wir belohnen dich dafür!

axonivy-header-bugbounty

Die Rahmenbedingungen 

Das BugBounty@AxonIvy Programm steht allen offen, mit den folgenden Ausnahmen:

  • Aktuelle und ehemalige Mitarbeitende von Axon Ivy oder der RICOH Gruppe.
  • Unterauftragnehmer, Berater oder externe Mitarbeiter, die derzeit oder früher mit Axon Ivy oder der RICOH-Gruppe zusammenarbeiten.
  • Angehörige oder gesetzliche Vertreter dieser Mitarbeitenden.
  • Minderjährige ohne schriftliche Einwilligung ihrer Erziehungsberechtigten.
  • Darüber hinaus gelten die Regeln des SECO (Staatssekretariat für Wirtschaft in der Schweiz).

Responsible Disclosure ist eine Grundvoraussetzung für die Teilnahme.

Wichtige Bedingungen:

check-rounded-white

Die Veröffentlichung der Schwachstelle erfolgt erst, nachdem AxonIvy die Behebung intern abgeschlossen und kommuniziert hat.

check-rounded-white

Die Meldung muss die erste für diese Schwachstelle sein. Mehrfachmeldungen werden nicht belohnt.

check-rounded-white

Gültige IBAN oder SWIFT: Du musst eine gültige IBAN oder einen gültigen SWIFT-Code haben, um teilzunehmen und den Bonus zu erhalten. Bei SWIFT-Konten muss der Bonus mehr als 100 € betragen.

check-rounded-white

Die Schwachstelle darf nicht auf einer veralteten Komponente eines Drittanbieters beruhen.

check-rounded-white

Du hast die Schwachstelle ohne den Einsatz von Scan-Tools wie für Phishing, DDoS oder Brute-Force-Attacken gefunden. Solche automatisierten Tests sind nicht zulässig.

check-rounded-white

Du musst mit deinen eigenen, echten Zugangsdaten gearbeitet haben. Der Zugriff auf Konten Dritter ohne deren Erlaubnis ist nicht erlaubt und wird nicht vergütet.

axonivy-cards-bugbounty-irrelevant-cases

Irrelevante Fälle

Unser BugBounty@AxonIvy Programm konzentriert sich auf kritische Sicherheitslücken in unseren Produkten und Diensten. Daher sind folgende Meldungen für das Programm nicht relevant:

  • Phishing-Mails oder andere Nachrichten, in denen Axon Ivy-E-Mailadressen missbraucht werden
  • Schwachstellen ohne Nachweis einer tatsächlichen Ausnutzbarkeit
  • Schwachstellen, die nur veraltete oder Browser mit eingeschränkten Sicherheitsmerkmalen betreffen
  • Scanner-Berichte ohne konkreten Bezug zu einer Sicherheitslücke
  • Verstöße gegen Best Practices bei Headern, SSL/TLS oder DNS
  • Allgemeine Erreichbarkeit unserer digitalen Services
  • Befunde im Zusammenhang mit den Webseiten www.axonivy.com und jeder Subdomain
  • Befunde im Zusammenhang mit der Dokumentation (z. B. Swagger API-Dokumentation)

 

axonivy-de-cards-bugbounty-cvss-score

So wirst du belohnt

Wenn du unsere Regeln befolgst und eine bislang unbekannte Sicherheitslücke meldest, kannst du eine Belohnung erhalten!

Die Höhe der Prämie richtet sich nach der Schwere der Schwachstelle, gemessen am branchenüblichen CVSS-Score.  (s. Tabelle). Die endgültige Höhe des Auszahlungsbetrags legt Axon Ivy fest.

Die Belohnung wird nur an die erste meldende Person ausgezahlt. Wurde der Fehler bereits gemeldet, erfolgt keine Auszahlung.

Wichtig: Zahlungen werden erst verarbeitet, nachdem du eine Rechnung eingereicht hast, die die Mindestanforderungen erfüllt, und du über eine gültige IBAN verfügst.

axonivy-cards-bugbounty-email

So meldest du Schwachstellen

Bitte verwende ausschließlich das folgende Formular, um Fehler zu melden, die du in unseren Tools (Designer, Engine, Portal) oder unserem Open-Source-Code gefunden hast. 

Klicke hier, um das Formular zu öffnen und Sicherheitslücken zu melden.

axonivy-cards-bugbounty-better-and-more-secure

Was passiert mit deiner Meldung?

Deine Schwachstellen-Meldung wird von unseren Sicherheitsexpert:innen geprüft, bewertet und basierend auf ihrer Kritikalität eingestuft. Dabei dient das Gefährdungspotenzial als Maßstab. Zur Orientierung nutzen wir den NVD-CVSS v4 Calculator, die endgültige Bewertung erfolgt jedoch durch Axon Ivy.

Unser Ziel: Die Schwachstelle schnellstmöglich beheben und die Sicherheit unserer Produkte nachhaltig verbessern.

Danke, dass du uns unterstützt, Axon Ivy noch sicherer zu machen!

Also, worauf wartest du noch?
Werde jetzt Teil unseres BugBounty@AxonIvy-Programms, sichere dir tolle Prämien und hilf uns, unsere Produkte noch sicherer zu machen!