漏洞披露政策
版本2020.06.04.
维护我们产品的安全,隐私和诚信是思维型的优先事项。因此,Mindtouch赞赏安全研究人员的工作,以提高我们的安全姿势。我们致力于创建一个安全,透明的环境,以报告漏洞。
如果您认为,如果您发现可能会影响心态或客户的安全漏洞,我们会鼓励您立即举报。我们将调查所有合法的报告,并尽快解决问题。我们要求您遵循Mindtouch的漏洞披露政策,并善于努力避免隐私违规,销毁数据以及我们在研究期间的服务中断或退化。
指导方针
我们要求所有漏洞记者:
- 尽一切努力避免隐私违规,用户体验的退化,生产系统中断,以及在安全测试期间销毁数据
- 仅在下面列出的范围内执行研究
- 使用已识别的通信频道向我们报告漏洞信息
- 保持有关您在自己和MindTouch之间发现的任何漏洞的信息,直到我们有90天来解决这个问题
如果您在向我们报告问题时遵循这些指南,我们承诺:
- 不追求或支持与您的研究有关的任何法律行动
- 与您一起了解并快速解决问题
- 包括在提交的72小时内初始确认您的报告
范围
MindTouch提供的服务,MindTouch客户网站或任何Mindtouch产品都处于范围内。
超出范围
第三方提供商和服务托管的任何服务都被排除在范围之外。这些服务包括:
- support.www.sabbathabali.com
- mindtouch.onelogin.com.
为了让我们的用户安全,员工,互联网大而且作为安全研究员,以下测试类型被排除在范围之外:
- 实际测试的调查结果如Office Access(例如,开门,尾随)
- 主要来自社会工程的调查结果(例如网络钓鱼,熏蒸)
- “范围”部分未列出的应用程序或系统的调查结果
- UI和UX错误和拼写错误
- 网络级别拒绝服务(DOS / DDOS)漏洞
我们不想收到的东西:
- 个人身份信息(PII)
- 信用卡持有人数据
如何报告安全漏洞?
如果您认为您在其中一个产品或平台中找到了安全漏洞,请通过电子邮件发送给我们[电子邮件受保护]请使用您的报告包含以下详细信息:
- 漏洞的位置和潜在影响的描述
- 对重现漏洞(PoC脚本,屏幕截图和压缩屏幕捕获的步骤的详细说明都对我们有帮助)
生效日期:2020年6月4日