漏洞披露政策

版本2020.06.04.

维护我们产品的安全，隐私和诚信是思维型的优先事项。因此，Mindtouch赞赏安全研究人员的工作，以提高我们的安全姿势。我们致力于创建一个安全，透明的环境，以报告漏洞。

如果您认为，如果您发现可能会影响心态或客户的安全漏洞，我们会鼓励您立即举报。我们将调查所有合法的报告，并尽快解决问题。我们要求您遵循Mindtouch的漏洞披露政策，并善于努力避免隐私违规，销毁数据以及我们在研究期间的服务中断或退化。

指导方针

我们要求所有漏洞记者：

• 尽一切努力避免隐私违规，用户体验的退化，生产系统中断，以及在安全测试期间销毁数据
• 仅在下面列出的范围内执行研究
• 使用已识别的通信频道向我们报告漏洞信息
• 保持有关您在自己和MindTouch之间发现的任何漏洞的信息，直到我们有90天来解决这个问题

如果您在向我们报告问题时遵循这些指南，我们承诺：

• 不追求或支持与您的研究有关的任何法律行动
• 与您一起了解并快速解决问题
  • 包括在提交的72小时内初始确认您的报告

范围

MindTouch提供的服务，MindTouch客户网站或任何Mindtouch产品都处于范围内。

超出范围

第三方提供商和服务托管的任何服务都被排除在范围之外。这些服务包括：

• support.www.sabbathabali.com
• mindtouch.onelogin.com.

为了让我们的用户安全，员工，互联网大而且作为安全研究员，以下测试类型被排除在范围之外：

• 实际测试的调查结果如Office Access（例如，开门，尾随）
• 主要来自社会工程的调查结果（例如网络钓鱼，熏蒸）
• “范围”部分未列出的应用程序或系统的调查结果
• UI和UX错误和拼写错误
• 网络级别拒绝服务（DOS / DDOS）漏洞

我们不想收到的东西：

• 个人身份信息（PII）
• 信用卡持有人数据

如何报告安全漏洞？

如果您认为您在其中一个产品或平台中找到了安全漏洞，请通过电子邮件发送给我们[电子邮件受保护]请使用您的报告包含以下详细信息：

• 漏洞的位置和潜在影响的描述
• 对重现漏洞（PoC脚本，屏幕截图和压缩屏幕捕获的步骤的详细说明都对我们有帮助）

生效日期：2020年6月4日