Übersicht
Unabhängige Sicherheitsforscher spielen bei der Internetsicherheit eine wertvolle Rolle. Daher regen wir dazu an, alle Sicherheitslücken, die auf unserer Site oder in unseren Anwendungen gefunden werden, in verantwortungsvoller Weise zu melden. Salesforce arbeitet weiter engagiert mit Sicherheitsforschern zusammen, um alle gemeldeten potenziellen Sicherheitslücken zu überprüfen und zu beseitigen.
Im Rahmen der verantwortlichen Offenlegung benachrichtigt Salesforce potenziell betroffene Kunden, wenn sie Maßnahmen ergreifen und Sicherheitslücken durch einen Patch oder anderweitig beheben müssen, bevor das Problem öffentlich angezeigt und in der Liste der Common Vulnerabilities and Exposures (CVE®, häufige Schwachstellen und Sicherheitsrisiken) veröffentlicht wird.
Lesen Sie die folgenden Bedingungen, bevor Sie eine Sicherheitslücke testen und/oder melden. Salesforce verpflichtet sich, keine rechtlichen Schritte gegen Forscher einzuleiten, die in unsere Systeme eindringen oder einzudringen versuchen, vorausgesetzt, sie halten sich an diese Richtlinie.
Vielen Dank, liebe Mitwirkende!
Wir wissen Mitwirkende zu schätzen, für die Vertrauen ebenfalls an erster Stelle steht. Sehen Sie sich die Liste der Kunden und Benutzer an, die dabei geholfen haben, den Sicherheitsstatus bei Salesforce insgesamt zu verbessern.
Liste der Mitwirkenden bei der Sicherheitsforschung anzeigen >
Weitere Informationen zur Richtlinie
Auf Sicherheitslücken testen
Sobald eine Test-Edition oder Developer Edition verfügbar ist, führen Sie sämtliche Tests auf Sicherheitslücken an den entsprechenden Instanzen aus. Verwenden Sie zum Testen unserer Onlineservices stets Test- oder Demoaccounts. Weitere Informationen zu sicherheitsbezogenen Bewertungen, Anforderungen, Einschränkungen und der Zeitplanung finden Sie im Artikel zu Schwachstellenbewertung und Penetrationstests. Hilfeartikel lesen >
Eine potenzielle Sicherheitslücke melden
Geben Sie privat ausführliche Informationen zur vermuteten Sicherheitslücke beim Salesforce-Sicherheitsteam an, damit das Problem überprüft und reproduziert werden kann. E-Mail an Salesforce-Sicherheitsteam senden >
Salesforce gestattet die folgenden Arten von Sicherheitsforschung nicht
Wir ermutigen Sie dazu, auf verantwortungsvolle Weise Sicherheitslücken zu ermitteln und uns zu melden, folgende Handlungen sind jedoch ausdrücklich untersagt:
- Ausführen von Aktionen, die sich negativ auf Salesforce oder seine Benutzer auswirken könnten (z. B. Spam, Brute Force, Denial of Service usw.)
- Zugreifen auf Daten oder Informationen, die Ihnen nicht gehören, oder der entsprechende Versuch
- Zerstören oder Beschädigen von Daten oder Informationen, die Ihnen nicht gehören, oder der entsprechende Versuch
- Ausführen eines physischen oder elektronischen Angriffs auf Salesforce-Mitarbeiter, -Eigentum oder -Datenzentren
- Social Engineering von Salesforce-Servicedesks, -Mitarbeitern oder -Vertragsnehmern
- Durchführen von Tests auf Sicherheitslücken an beteiligten Services mit anderen Accounts als Testaccounts (z. B. Instanzen mit Developer Edition oder Test-Edition)
- Verstoßen gegen Gesetze oder Brechen von Verträgen, um Sicherheitslücken zu finden
Verpflichtung des Salesforce-Sicherheitsteams
Wir möchten Sie bitten, ungelöste Sicherheitslücken nicht Dritten mitzuteilen oder öffentlich bekannt zu machen. Wenn Sie eine Sicherheitslücke auf verantwortungsvolle Weise melden, werden das Salesforce-Sicherheitsteam und zugehörige Entwicklungsorganisationen angemessene Anstrengungen unternehmen, um:
- zeitnah zu antworten und den Empfang der Meldung der Sicherheitslücke zu bestätigen.
- einen ungefähren Zeitrahmen zur Beseitigung der gemeldeten Sicherheitslücke anzugeben.
- Sie zu benachrichtigen, wenn die Sicherheitslücke behoben wurde.