漏洞披露政策
(最后更新:2022 年 11 月)
Sharktech 致力于保护其网站(以下简称“网站”)和服务,以防出现安全漏洞。 我们会监控我们的网络和网站,以防出现这些漏洞,但如果我们的客户和其他安全研究人员在我们的网站或服务中发现漏洞,我们也乐于接受他们的帮助。 我们要求他们在报告发现的漏洞时遵守以下披露政策(以下简称“政策”),以提高所有方的安全性。
1.尽快向Sharktech报告发现的安全漏洞 at bugreport@sharktech.net
- 识别可疑漏洞。
- 表明让我们能够重现问题的各个步骤。
- 提供联系您所用的电子邮件地址和安全机制。
- 如果您想获得认可,还可以提供您的姓名(和/或同事的名字)。
我们将在下一个工作日确认收到您的漏洞报告,并努力定期向您发送有关我们进展的更新。
2.在报告发现的安全漏洞后
- 请勿在公告栏、邮件列表或其他公共论坛上披露 bug 或漏洞。
- 在公开披露发现的问题之前,给 Sharktech 留出合理的时间来纠正漏洞,确保 Sharktech 可以开发并彻底测试解决方案。
- 不得利用漏洞在未经授权的情况下查看数据或损害机密性或可用性。
- 不要进行会影响服务可靠性/可用性的攻击。 不允许进行 DDoS/垃圾邮件攻击。
- 不要使用扫描程序或自动化工具查找漏洞。 它们会产生意想不到的后果或影响。
- 尽力避免侵犯隐私以及破坏、中断或隔离我们的服务。
- 不要修改或销毁不属于您的数据。
- 切勿尝试非技术攻击,例如社会工程、网络钓鱼或针对我们员工或基础设施的人身攻击。
如果您不遵守本政策或发现您参与造成该漏洞,Sharktech 保留追索的所有法律权利
Sharktech 感谢您的协助,因此可能会自行决定对您根据本政策报告漏洞的举措提供奖励。