飛濺的負責任披露政策
Splashtop Inc.是遠端存取軟體和服務的領先供應商,致力於確保客戶的安全。 為此,Splashtop現在正在正式制定我們的政策,以接受我們產品中的漏洞報告。 我們希望與安全社區建立開放的合作夥伴關係,我們認識到社區所做的工作對於繼續確保所有客戶的安全和保障非常重要。
我們制定這項政策既反映了我們的企業價值觀,又維護了我們對為我們提供專業知識的善意安全研究人員的法律責任。
法律姿態
Splashtop Inc.不會對通過我們的漏洞報告表格提交漏洞報告的個人採取法律行動。 我們公開接受當前列出的Splashtop產品的報告。 我們同意不對以下個人採取法律行動:
在不傷害飛濺頂部或其客戶的情況下參與系統/研究的測試
在我們的漏洞披露計劃範圍內參與漏洞測試
如果您無意中遇到用戶數據,請立即聯繫Splashtop。 請勿查看、更改、保存、存儲、傳輸或以其他方式訪問數據,並在向Splashtop報告漏洞後立即清除任何本地資訊。
遵守其位置和飛濺頂部位置的法律。 例如,違反僅會導致Splashtop索賠(而不是刑事索賠)的法律可能是可以接受的,因為Splashtop正在授權該活動(逆向工程或規避保護措施)以改善其系統。
避免在雙方商定的時間範圍到期之前向公眾披露漏洞詳細資訊
首選項、優先順序和驗收標準
我們將使用以下標準對提交進行優先順序排序和分類。
我們希望從您身上看到什麼:
用英語寫好的報告將有更高的解決機會。
包含概念驗證代碼的報告使我們能夠更好地進行分類。
僅包含故障轉儲或其他自動工具輸出的報告可能會獲得較低的優先順序。
包含不在初始範圍清單中的產品的報表可能會獲得較低的優先順序。
請包括您發現 Bug 的方式、影響以及任何潛在的補救措施。
如果您想與我們合作披露漏洞,請告訴我們。 我們將盡心盡力與您合作,盡可能披露漏洞。
您能從我們這裡得到什麼:
您將在提交內容進行分類后的 3 個工作日內收到有關提交的反饋。
分類后,我們將發送預期的時程表,並承諾對補救時程表以及可能延長補救時程表的問題或挑戰盡可能透明。
用於討論問題的開放對話框。
漏洞分析完成我們審查的每個階段時發出通知。
如果我們無法解決通信問題或其他問題,Splashtop可能會引入中立的第三方(例如CERT / CC,ICS-CERT或相關監管機構)來協助確定如何最好地處理漏洞。
如何提交漏洞
要向Splashtop的產品安全團隊提交漏洞報告,請填寫以下資訊: