Vulnerability Disclosure Policy (CVD-Policy)

Version: 1.0
Gültig ab: 16.05.2026
Geltungsbereich: Alle von Sodah entwickelten WordPress-Plugins

Unsere Verpflichtung

Wir nehmen Sicherheitsmeldungen ernst und bearbeiten sie zeitnah und koordiniert.

Wie melde ich eine Sicherheitslücke?

  • E-Mail: security@sodah.de
  • Betreff: „Vulnerability Report: [Plugin-Name]“

Bitte folgende Informationen angeben:

  • Betroffenes Plugin + Version
  • Beschreibung der Schwachstelle
  • Schritte zur Reproduktion
  • Mögliche Auswirkungen

Unsere Bearbeitungszeiten

  • Eingangsbestätigung: innerhalb von 3 Werktagen
  • Erste Einschätzung: innerhalb von 14 Tagen
  • Ziel: Patch innerhalb von 90 Tagen (bei kritischen Lücken deutlich schneller)
  • Bei aktiv ausgenutzten Schwachstellen: Meldung an ENISA innerhalb von 24 Stunden

Anerkennung

Sicherheitsforscher werden auf Wunsch in unserem Hall of Fame genannt (außer bei gewünschter Anonymität).

Regeln

Wir bitten um koordinierte Veröffentlichung (keine Public Disclosure, bevor ein Patch verfügbar ist).