脆弱性信息披露政策

bt365网址bt365体育网址有责任保护bt365体育网址客户的信息和软件 服务bt365体育网址 非常认真地提供给他们.

bt365体育网址希望安全研究人员能够放心地报告他们发现的漏洞 这一政策使bt365体育网址能够纠正它们,并帮助bt365体育网址保持bt365体育网址的信息和软件和服务 提供安全.

该政策描述了涵盖哪些系统和类型的研究, 交战规则, 如何发送给bt365体育网址 漏洞报告,以及bt365体育网址要求安全研究人员等待多久才公开披露 漏洞. bt365体育网址保留随时更新本政策的权利,请您审阅本政策 定期.

目的

bt365体育网址的漏洞公开策略的主要目标是帮助确保漏洞被修补或修复 及时的,以确保bt365体育网址客户和用户的信息安全为最终目标. 这一政策是 旨在为报告潜在的未知或有害的安全漏洞提供明确的指南.

的指导方针

bt365体育网址要求你:

  1. 尽一切努力避免侵犯隐私, 用户体验的退化, 中断生产 系统,以及数据的破坏或操纵.
  2. 只在确认漏洞的必要程度上使用漏洞. 不要利用一个漏洞来妥协或 泄露数据,建立命令行访问和/或持久化,或利用漏洞进行“轴心” 到其他 系统. 一旦您确定存在漏洞,或遇到任何敏感数据 如下所示,您必须停止测试并立即通知bt365体育网址.
  3. 对发现的漏洞保密. 详情请参阅 协调披露部分.

范围

此策略适用于*.solarwinds.Com域名及产品:
http://www.oyunoynayan.com/downloads 

以上未明确列出的任何产品或服务, 例如任何连接的服务, 被排除在范围之外 并没有被授权进行测试.

此外,在bt365体育网址的服务提供商系统中发现的漏洞不在此策略范围内 范围和 应根据其披露政策(如有)直接报告给服务提供商. 如果你是 不确定系统或端点是否在范围内,请bt365体育网址 PSIRT@oyunoynayan.com 开始前 您的研究,让bt365体育网址帮助您确定活动是否在范围内.

交战规则

bt365体育网址只是要求研究人员遵循这些简单的参与规则,以限制bt365体育网址公司的潜力 和/或bt365体育网址客户的数据可能会受到威胁:

  1. 没有以危及机密性的方式利用已识别的漏洞吗, 完整性, 和/或 在测试过程中,任何未显式属于您的资源的可用性.
  2. 不要用你的发现来钓鱼, 垃圾邮件, 社会工程师, 或以其他方式欺骗客户或bt365网址 员工在测试的同时获得更多的访问权限.
  3. 不尝试物理访问bt365网址的属性, 尝试社会工程员工, 或以其他方式 尝试发现数字手段之外的风险.
  4. 不进行DoS (denial of service)或DDoS (distributed denial of service)攻击 bt365网址资源证明一个可疑的安全问题的影响.

如果您在本政策范围内进行测试时遇到以下任何情况, bt365体育网址要求你停止 立即检测并通知bt365体育网址:

  • 个人身份信息
  • 财务信息(e.g.、信用卡或银行帐号)
  • 你怀疑的信息, 或者可以合理地考虑, 本公司的专有或商业秘密 公司或任何其他方
  • 拒绝服务或网站和应用程序没有响应的情况

报告一个漏洞

bt365体育网址通过电子邮件接受漏洞报告 PSIRT@oyunoynayan.com. bt365体育网址还支持pgp加密的电子邮件和 bt365体育网址的公钥可用于确保与bt365网址的任何通信安全.

你的报告应该包括:

  1. 说明漏洞的位置和潜在影响.
  2. 再现漏洞所需步骤的详细描述. 概念证明(POC) 脚本、屏幕截图和屏幕截图都很有用. 请非常小心正确地贴上标签和 保护任何利用代码.
  3. 任何技术信息和相关材料,bt365体育网址将需要复制的问题.
  4. 请保持您的漏洞报告的最新,通过发送给bt365体育网址任何新的信息,因为它是可用的.

bt365体育网址可能会将您的漏洞报告分享给外部第三方以及任何受影响的供应商或开源 项目.

授权

您必须遵守所有适用的联邦法规, 状态, 以及与你的安全研究相关的当地法律 参与本漏洞披露程序的活动或其他活动.

如果您在进行安全研究期间真诚遵守本政策, bt365体育网址会考虑你的 研究符合这一政策,bt365体育网址将与您合作,了解和解决问题迅速. -bt365体育网址不能控制第三方的权利或要求.

协调披露

bt365网址致力于修复向bt365体育网址报告的已验证和已验证的漏洞,并披露 当bt365体育网址的产品更新时,通常会在产品发布说明中提供这些漏洞的详细信息 可用. bt365体育网址知道,公开披露漏洞可能是漏洞的重要组成部分 让软件变得更好的最好的方法之一就是让每个人都能从中学习 对方的错误.

与此同时, bt365体育网址认为,在没有现成的解决方案的情况下进行披露,反而会增加风险 比降低, 所以bt365体育网址请求你不要与他人分享你的报告而bt365体育网址正在做一个 对客户可用的修复. 如果你认为有其他人应该在修复之前通知你的报告 如果您有空,请告知,以便bt365体育网址考虑其他安排.

bt365体育网址欢迎并支持共同发布协调一致的咨询意见, 但bt365体育网址也欢迎你自我披露,如果 你喜欢. 在默认情况下,bt365体育网址更愿意披露一切,但在可能需要bt365体育网址披露的情况下除外 由法律规定, bt365体育网址将本着诚信的原则,在没有任何信息的情况下,绝不发布有关您的信息或bt365体育网址与您的通信 你的许可. 在某些情况下,bt365体育网址可能还有一些敏感信息需要修改,所以 自我披露前请先与bt365体育网址确认.

你能从bt365体育网址这里期待什么

  1. 当您选择与bt365体育网址分享您的联系信息时, bt365体育网址承诺与你们公开协调 尽快.
  2. bt365体育网址会在3个工作日内收到你的报告.
  3. 尽bt365体育网址所能, bt365体育网址会向你确认漏洞的存在,并保持透明 bt365体育网址在补救过程中采取了哪些步骤, 包括问题或挑战 这可能会推迟决议.
  4. bt365体育网址将保持开放的对话来讨论问题.

bt365网址 PSIRT PGP公钥

当向bt365网址发送有关漏洞和/或其他敏感安全信息时,bt365体育网址会询问这个问题 你给安全团队加密你的通信. bt365体育网址发布了一个公开的PGP密钥,您可以使用它来:

  • 验证向bt365网址发送的安全通知的真实性
  • 将包含敏感信息的任何消息加密到bt365网址 psirt@oyunoynayan.com.
  • 请不要向bt365体育网址发送可识别个人身份的信息.

获取PGP Key

您可以向PGP公司获取PGP Desktop的试用版或商用版. 此外,GnuPG 可以免费.

bt365网址安全团队PGP密钥

安全团队公钥上传安全, 发布最新PSIRT密钥的全局PGP目录, 过期日期和证书吊销状态.

bt365网址的PSIRT公钥被发布到这些PGP全局目录:

http://pgp.circl.lu/

http://keys.gnupg.net/

bt365体育网址Geekbuilt.®

由网络和系统工程师开发,他们知道如何管理当今动态的it环境, bt365网址与IT界有着深厚的联系.

结果? 有效、可访问且易于使用的IT管理产品.

公司 投资者 职业中心 安全的设计 这术语表
资源中心 偏好中心 为客户 为政府 GDPR资源中心
法律文件 隐私 加州隐私权 安全信息 文档 & 卸载信息 信任中心 信息披露政策
©2022 bt365体育网址. 保留所有权利.
关闭
{{静态内容}}
{{CAPTION_TITLE}}

{{CAPTION_CONTENT}}

{{标题}}