漏洞披露政策

版本2020.06.04.

维护我们产品的安全,隐私和诚信是思维型的优先事项。因此,Mindtouch赞赏安全研究人员的工作,以提高我们的安全姿势。我们致力于创建一个安全,透明的环境,以报告漏洞。

如果您认为,如果您发现可能会影响心态或客户的安全漏洞,我们会鼓励您立即举报。我们将调查所有合法的报告,并尽快解决问题。我们要求您遵循Mindtouch的漏洞披露政策,并善于努力避免隐私违规,销毁数据以及我们在研究期间的服务中断或退化。

指导方针

我们要求所有漏洞记者:

  • 尽一切努力避免隐私违规,用户体验的退化,生产系统中断,以及在安全测试期间销毁数据
  • 仅在下面列出的范围内执行研究
  • 使用已识别的通信频道向我们报告漏洞信息
  • 保持有关您在自己和MindTouch之间发现的任何漏洞的信息,直到我们有90天来解决这个问题

如果您在向我们报告问题时遵循这些指南,我们承诺:

  • 不追求或支持与您的研究有关的任何法律行动
  • 与您一起了解并快速解决问题
    • 包括在提交的72小时内初始确认您的报告

范围

MindTouch提供的服务,MindTouch客户网站或任何Mindtouch产品都处于范围内。

超出范围

第三方提供商和服务托管的任何服务都被排除在范围之外。这些服务包括:

  • support.www.sabbathabali.com
  • mindtouch.onelogin.com.

为了让我们的用户安全,员工,互联网大而且作为安全研究员,以下测试类型被排除在范围之外:

  • 实际测试的调查结果如Office Access(例如,开门,尾随)
  • 主要来自社会工程的调查结果(例如网络钓鱼,熏蒸)
  • “范围”部分未列出的应用程序或系统的调查结果
  • UI和UX错误和拼写错误
  • 网络级别拒绝服务(DOS / DDOS)漏洞

我们不想收到的东西:

  • 个人身份信息(PII)
  • 信用卡持有人数据

如何报告安全漏洞?

如果您认为您在其中一个产品或平台中找到了安全漏洞,请通过电子邮件发送给我们[电子邮件受保护]请使用您的报告包含以下详细信息:

  • 漏洞的位置和潜在影响的描述
  • 对重现漏洞(PoC脚本,屏幕截图和压缩屏幕捕获的步骤的详细说明都对我们有帮助)

生效日期:2020年6月4日