建议

    漏洞的披露

    表示负责任的披露声明

    希特公司致力于确保使用我们产品和服务的客户的安全和保障。标志维护一个由安全专家组成的网络,为我们的产品和服务开发和部署最佳实践安全特性,以及管理安全事件。表示在全局产品安全策略下操作。表示支持协同漏洞披露,还鼓励安全研究人员和客户进行负责任的漏洞测试,并提供负责任的报告。

    在提交漏洞发现报告时,请确保遵循以下程序,以获得安全有效的支持。

    报告程序:

    1. 请使用我们的PGP公开密钥加密任何提交给我们的电子邮件lightingproductsecurity@signify.com
    2. 请提供您的咨询/咨询号码和足够的联系信息,如您的组织和联系人姓名,以便我们与您取得联系。
    3. 请提供问题或漏洞的技术描述。
      1. 请提供您测试的具体产品信息,包括产品名称和版本号;测试的技术基础设施,包括操作系统和版本;以及任何相关的附加信息,如网络配置细节。
      2. 对于基于web的服务,请提供测试的日期和时间,url,浏览器类型和版本,以及提供给应用程序的输入。
    4. 为了帮助我们验证问题,请提供任何附加信息,包括用于进行测试的工具和任何相关测试配置的详细信息。如果您编写了具体的概念证明或利用代码,请提供一份副本。请确保所有提交的代码都有明确的标记,并使用我们的PGP密钥进行加密。
    5. 如果您已识别与该漏洞相关的特定威胁,评估了风险,或看到该漏洞正在被利用,请提供pgp加密的该信息。
    6. 如果您向漏洞协调机构(如ICS-CERT、CERT/CC、NCSC或其他机构)传达漏洞信息,请告知我们,并提供他们的追踪号码(如果有的话)。

    产品安全漏洞报告评估和处理:

    1. 我们将在两个工作日内确认收到您的报告。
    2. 标志将为您的报告提供一个独特的跟踪号码。
    3. 该公司将为每个案例指派一名联系人。
    4. 表示其中央安全事件响应小组将通知相应的产品小组。
    5. 意指将使您了解您的报告的状态。
    6. 如果漏洞实际上存在于我们产品/服务的第三方组件或服务中,我们将把报告提交给该第三方,并通知您该通知。为此,请在您的邮件中告知我们,在这种情况下,是否允许将您的联系方式提供给第三方。
    7. 在收到漏洞报告后,表示将:
      1. 验证报告的漏洞。
      2. 制定一个新年决心。
      3. 对解决方案进行质量保证/验证测试。
      4. 发布该决议。
      5. 与开发团队分享经验教训。
    8. 意意将使用现有的客户通知流程来管理补丁或安全修补程序的发布,其中可能包括但不限于由意意自行决定的直接客户通知或在我们网站上公开发布咨询通知。

    重要的是:

    1. 不要在您提供给我们的任何屏幕截图或其他附件中包含敏感的个人信息。做出善意的努力,不要访问或破坏其他用户的数据。
    2. 不要对正在使用的应用程序、产品或服务执行任何漏洞或类似测试。漏洞测试应仅在当前未使用或不打算使用的设备或应用程序、产品或服务上执行。
    3. 对于网络基础应用程序、产品或服务,请使用演示/测试环境来执行漏洞测试。
    4. 不要利用你发现的漏洞或问题;例如,通过下载超过必要的数据来演示漏洞,或删除或修改任何数据。
    5. 在进行脆弱性测试后,应对每个设备进行重新测试,以确保没有造成任何损害,设备适合使用。如果应用程序、产品或服务由提供商提供服务,请在设备重新投入使用前联系您的服务提供商。
    6. 作为漏洞披露的负责协调的一部分,我们鼓励您与标志一起为已发现的漏洞信息选择公开发布日期。为尽量减少公共安全、隐私和安全风险,我们要求您配合同步发布信息。在公开披露之前,请告知我们您的披露计划,如果有的话。
    7. 披露方的行为不得过于过分,例如,包括但不限于:
      1. 使用社会工程获得对应用程序、产品或服务的访问。
      2. 在信息应用程序、产品或服务中建立他或她自己的后门,并意图使用它来证明漏洞,因为这样做可能会造成额外的损害,并造成不必要的安全风险。
      3. 过分利用弱点来证明它的存在。
      4. 复制、修改或删除应用程序、产品或服务上的数据。另一种方法是制作应用程序、产品或服务的目录列表。
      5. 更改应用程序、产品或服务。
      6. 反复获取应用程序、产品或服务的访问权限,或与他人共享访问权限。
      7. 使用蛮力攻击来获得对应用程序、产品或服务的访问权。严格来说,这不是一个漏洞,而是重复尝试密码。
    8. 如果需要,在公开发布的补丁或安全修复发布信息中,对做出漏洞报告或执行测试的研究人员提供充分的信用。

    注意:

    如果您决定与意指共享任何信息,则您同意您提交的信息将被视为非专有和非机密的,并且允许意指以任何方式(全部或部分)使用该等信息,不受任何限制。此外,您同意提交信息并不为您创造任何权利或任何表示义务。

    最近更新:2019年1月28日

    Baidu