漏洞发现政策
I导论
OnePlan Limited 致力于保护公众的信息免遭无理泄露,从而确保公众的安全。本政策的目的是为安全研究人员提供开展漏洞发现活动的明确指南,并传达我们对如何向我们提交发现的漏洞的偏好。
该政策描述了 涵盖的研究系统和类型 通过这项政策, 如何发送 向我们报告漏洞,以及 多久 我们要求安全研究人员在公开披露漏洞之前先等待。
我们希望安全研究人员能够放心地报告他们发现的漏洞(如本政策中所述),以便我们能够修复这些漏洞并保证用户的安全。我们制定这项政策是为了反映我们的价值观,并保持我们对真诚地与我们分享专业知识的安全研究人员的责任感。
Authorization
如果您在安全研究期间真诚地努力遵守本政策,我们将认为您的研究已获得授权,我们将与您合作快速了解并解决问题,并且 OnePlan Limited 不会推荐或追究与您的研究相关的法律诉讼。
G指导方针
就本政策而言,术语“研究”是指您进行以下活动:
- 发现实际或潜在的安全问题后尽快通知我们。
- 尽一切可能避免隐私侵犯、用户体验下降、生产系统中断以及数据破坏或操纵。
- 仅在确认漏洞存在所需的范围内使用漏洞利用程序。请勿使用漏洞来破坏或窃取数据、建立命令行访问和/或持久性,或使用漏洞“转移”到其他系统。
- 在公开披露问题之前,您给我们一段合理的时间来解决问题。
- 您不会故意损害他人的隐私或安全 OnePlan 有限人员或任何第三方。
- 您不会故意损害任何人的知识产权或其他商业或经济利益 OnePlan 有限的人员或实体,或任何第三方。
一旦您确定存在漏洞或遇到敏感数据(包括任何一方的个人身份信息、财务信息、专有信息或商业秘密), 您必须停止测试,立即通知我们,并且不得向任何人透露此类数据。
S应付
T他的政策适用于以下系统和服务:
|
oneplan活动网站 |
场地双胞胎.com |
直接相关的系统和服务 域和子域 以上所列均在范围内。此外,任何发布有本政策链接的网站均被视为在范围内。此处未明确列出或发布并附有本政策链接的网站均被视为超出本政策的范围。在我们供应商的系统中发现的漏洞超出了本政策的范围,应根据供应商的披露政策(如果有)直接向供应商报告。如果您不确定系统或端点是否在范围内,请联系 [电子邮件保护] 在开始研究之前或联系 .com WHOIS 中列出的系统域名的安全联系人。
尽管我们开发和维护可通过互联网访问的其他系统或服务,但我们要求仅对本文档范围所涵盖的系统和服务进行积极的研究和测试。如果您认为本文档未涵盖的系统值得测试,请提前联系我们进行讨论。随着时间的推移,我们将扩大这项政策的范围。
[电子邮件保护] 电子邮件地址仅用于报告产品或服务安全缺陷。它不用于获取我们产品或服务的技术支持信息。除针对我们产品或服务中的安全缺陷的内容之外的任何内容都不会被处理。
R参与规则
S安全研究人员不得:
- 测试除上述“范围”部分中规定的系统之外的任何系统,
- 披露漏洞信息,但下文“报告漏洞”和“披露”部分中规定的情况除外,
- 参与设施或资源的物理测试,
- 从事社会工程,
- 向以下用户发送未经请求的电子邮件 OnePlan 有限,包括“网络钓鱼”消息,
- 执行或试图执行“拒绝服务”或“资源耗尽”攻击,
- 引入恶意软件,
- 以可能降低运行性能的方式进行测试 OnePlan 系统有限;或故意改变、破坏或禁用 OnePlan 系统有限,
- 测试与集成或链接到的第三方应用程序、网站或服务 OnePlan 系统有限,
- 删除、更改、共享、保留或销毁 OnePlan 数据有限,或者渲染 OnePlan 无法访问有限的数据,或者,
- 使用漏洞来窃取数据、建立命令行访问、建立持久存在 OnePlan 有限的系统,或“转向”其他系统 OnePlan 系统有限。
S安全研究人员可以:
- 查看或存储 OnePlan 仅将非公开数据限制在记录潜在漏洞存在所需的范围内。
S安全研究人员必须:
- 发现漏洞后立即停止测试并通知我们,
- 一旦发现非公开数据泄露,请停止测试并立即通知我们,并且,
- 清除任何存储的 OnePlan 报告漏洞时的非公开数据有限。
R报告漏洞
我们接受漏洞报告: [电子邮件保护]。报告可以匿名提交。我们目前不支持 PGP 加密的电子邮件。
为了便于我们管理漏洞,我们希望提供一些精心编写的英文或法文报告,其中包含以下信息:
- 发现时间和日期
- 如果可能,使用供应商术语的产品型号和编号
- URL、浏览器信息(包括类型和版本)以及重现漏洞所需的输入;
- 技术描述——尽可能详细地提供正在执行的操作和结果;
- 示例代码 - 如果可能,提供在测试中用于创建漏洞的代码;
- 报告方联系信息 — 最佳联系方式
- 披露计划——当前的披露计划;
- 威胁/风险评估——包含已识别威胁和/或风险的详细信息,包括评估结果的风险级别(高、中、低);
- 软件配置——存在漏洞时计算机/设备配置的详细信息;
- 如果在交互过程中出现漏洞,则有关连接设备的相关信息。当辅助设备触发漏洞时,应提供这些详细信息。
除非需要与您联系,否则请勿在您的报告中包含任何个人数据。
参与此计划并不授予您对以下公司所拥有的知识产权的任何权利: OnePlan 有限公司或任何第三方。
根据本政策提交的信息将仅用于防御目的——减轻或修复漏洞。如果您的发现包括新发现的漏洞,这些漏洞会影响产品或服务的所有用户,而不仅仅是影响 OnePlan 有限,我们可能会与国家信息系统安全局 (ANSSI) 分享您的报告,该报告将根据其协调的漏洞披露流程进行处理。未经明确许可,我们不会分享您的姓名或联系信息。
通过向我们发送报告,即表示您已阅读、理解并同意本政策中描述的准则 用于进行安全研究并披露与以下相关的漏洞或漏洞指标 OnePlan 有限的信息系统,并同意将通信内容和后续通信存储在欧盟信息系统上。
为了帮助我们对提交的内容进行分类和优先排序,我们建议您的报告:
- 遵守以下列出的所有法律条款和条件 OnePlan 有限责任披露服务条款。 (在您的电子邮件中注明)
- 描述该漏洞、发现地点以及利用该漏洞的潜在影响。
- 提供重现漏洞所需步骤的详细描述(概念验证脚本或屏幕截图很有帮助)。
D封闭
OnePlan Limited 致力于及时修复漏洞。然而,我们认识到,在缺乏现成纠正措施的情况下公开披露漏洞可能会增加而不是降低风险。因此,我们要求您在收到我们对您的报告的确认后 90 个日历日内不要分享有关已发现漏洞的信息。如果您认为在我们实施纠正措施之前其他人需要了解该漏洞,我们要求您事先咨询我们。
我们可能会与国家信息系统安全局 (ANSSI) 以及任何受影响的供应商共享漏洞报告。除非获得明确许可,我们不会共享安全研究人员的姓名或联系数据。
有疑问吗?
有关本政策的问题可发送至 [电子邮件保护]。我们还邀请您与我们联系,提出改进本政策的建议。
