漏洞披露策略

在太阳风,bt365体育网址有责任保护bt365体育网址客户的信息和软件 服务bt365体育网址 非常认真地提供给他们.

bt365体育网址希望安全研究人员能够放心地报告他们发现的漏洞 这一政策,以便bt365体育网址可以补救他们,并帮助bt365体育网址保持bt365体育网址的信息和软件和服务,bt365体育网址 提供安全.

该政策描述了所涵盖的研究系统和类型, 交战规则, 如何送bt365体育网址 漏洞报告,以及bt365体育网址要求安全研究人员在公开披露之前等待多长时间 漏洞. bt365体育网址保留随时更新本政策的权利,因此请仔细阅读本政策 定期.

目的

bt365体育网址的漏洞披露政策的主要目标是帮助确保漏洞得到修补或修复 以确保bt365体育网址客户和用户的信息安全为最终目标. 这个政策是 旨在为报告潜在的未知或有害的安全漏洞提供明确的指导方针.

的指导方针

bt365体育网址要求您:

  1. 尽一切努力避免侵犯隐私, 用户体验下降, 生产中断 系统,破坏或操纵数据.
  2. 仅在确认漏洞所需的范围内使用利用. 不要利用漏洞来妥协还是 窃取数据,建立命令行访问和/或持久性,或使用漏洞进行“pivot” 到其他 系统. 一旦确定存在漏洞,或遇到任何敏感数据 如下所示,您必须立即停止测试并通知bt365体育网址.
  3. 对发现的漏洞的任何信息保密. 有关详情,请参阅 协调披露部分.

范围

此策略适用于*.solarwinds.可用域名及产品:
http://www.oyunoynayan.com/downloads 

上述未明确列出的任何产品或服务, 例如任何连接的服务, 被排除在范围之外 并且没有被授权进行测试.

此外,在bt365体育网址的服务提供商的系统中发现的漏洞不在本政策的范围内 范围和 应根据其披露政策(如有)直接报告给服务提供商. 如果你是 不确定系统或端点是否在范围内,请bt365体育网址 PSIRT@oyunoynayan.com 开始前 您的研究,让bt365体育网址帮助您确定活动是否在范围内.

交战规则

bt365体育网址只是要求研究人员遵循这些简单的参与规则,以限制bt365体育网址公司的潜力 和/或bt365体育网址客户的数据可能面临风险:

  1. 不利用已识别的漏洞,从而危及机密性, 完整性, 和/或 在测试过程中不明确属于您的任何资源的可用性.
  2. 不要用你的发现去钓鱼, 垃圾邮件, 社会工程师, 或以其他方式欺骗任何客户或太阳风公司 员工在测试时获得更多的访问权限.
  3. 不要尝试物理访问bt365网址属性, 尝试对员工进行社会工程, 或以其他方式 尝试发现针对太阳风的数字手段之外的风险.
  4. 不执行拒绝服务(DoS)或分布式拒绝服务(DDoS)攻击对任何 bt365网址资源来证明对可疑安全问题的影响.

如果您在此策略范围内进行测试时遇到以下任何情况, bt365体育网址要求你停止 测试并立即通知bt365体育网址:

  • 个人身份信息
  • 财务资料(e).g.、信用卡或银行户口号码)
  • 你怀疑的信息是, 或者可以合理地考虑, bt365体育网址的专有或商业秘密 公司或任何其他方
  • 拒绝服务或站点和应用程序没有响应的情况

报告漏洞

bt365体育网址接受通过电子邮件的漏洞报告 PSIRT@oyunoynayan.com. bt365体育网址还支持pgp加密的电子邮件和 bt365体育网址的公钥可用于与bt365网址的任何通信.

你的报告应该包括:

  1. 漏洞的位置和潜在影响的描述.
  2. 再现漏洞所需步骤的详细描述. 概念证明(POC) 脚本、屏幕截图和屏幕截图都很有用. 请非常小心地贴好标签 保护任何漏洞代码.
  3. 任何技术信息和相关材料,bt365体育网址将需要再版的问题.
  4. 请保持您的漏洞报告最新通过发送给bt365体育网址任何新的信息,因为它是可用的.

bt365体育网址可能会将您的漏洞报告共享给外部第三方以及任何受影响的供应商或开源软件 项目.

授权

您必须遵守所有适用的联邦法规, 状态, 以及与你的安全研究相关的当地法律 此漏洞披露计划的活动或其他参与.

如果您在安全研究期间真诚地努力遵守此政策, bt365体育网址将考虑您的 研究以符合此政策,bt365体育网址将与您合作,以迅速了解和解决问题. -理解bt365体育网址不能控制第三方的权利或要求.

协调披露

bt365网址致力于修复向bt365体育网址报告的已验证和验证的漏洞,并披露 在对bt365体育网址的产品进行一般更新时,在产品发布说明中列出这些漏洞的详细信息 可用. bt365体育网址知道,公开披露漏洞可能是漏洞的重要组成部分 让软件变得更好的最好方法之一就是让每个人都能从中学习 彼此的错误.

同时, bt365体育网址认为,在缺乏现成解决方案的情况下披露信息往往会增加风险 而不是减少它, 所以bt365体育网址要求你不要把你的报告与他人分享,而bt365体育网址正在努力 对客户可用的修复. 如果您认为在修复之前应该通知其他人您的报告 是否有空,请告知,以便bt365体育网址考虑其他安排.

bt365体育网址欢迎并支持联合发布协调咨询, 但也欢迎你自我透露如果 你喜欢. 默认情况下,bt365体育网址倾向于公开一切,但在可能需要bt365体育网址的情况下除外 由法律规定, bt365体育网址将诚实行事,绝不会在没有任何理由的情况下发布有关您的信息或bt365体育网址与您的通信 你的许可. 在某些情况下,bt365体育网址可能也有一些敏感的信息需要被编辑,所以 请在自我披露前与bt365体育网址核实.

你能从bt365体育网址这里得到什么

  1. 当您选择与bt365体育网址分享您的联系信息时, bt365体育网址承诺与你公开合作 尽快.
  2. 在3个工作日内,bt365体育网址将确认您的报告已收到.
  3. 尽bt365体育网址所能, bt365体育网址将向您确认漏洞的存在,并保持透明 bt365体育网址在补救过程中采取了哪些步骤, 包括问题或挑战 这可能会延迟解决.
  4. bt365体育网址将保持公开对话,讨论问题.

bt365网址 PSIRT PGP公钥

当向bt365网址发送有关漏洞和/或其他敏感安全信息时,bt365体育网址会要求这样做 加密与安全团队的通信. bt365体育网址已经发布了一个公共PGP密钥,您可以使用它来:

  • 验证发送给太阳风的安全通知的真实性
  • 加密任何包含敏感信息的信息给太阳风 psirt@oyunoynayan.com.
  • 请不要向bt365体育网址发送个人身份信息.

获取PGP密钥

您可以从PGP公司获得PGP Desktop的商业或免费试用版本. 此外,GnuPG是 作为免费软件提供.

太阳风安全小组PGP密钥

安全团队公钥上传至安全, 发布最新PSIRT密钥的全球PGP目录, 过期日期和证书撤销状态.

bt365网址 PSIRT公钥发布到以下PGP全局目录:

http://pgp.circl.lu/

http://keys.gnupg.net/

{{静态内容}}
{{CAPTION_TITLE}}

{{CAPTION_CONTENT}}

{{标题}}