脆弱性信息披露政策

在太阳风,我们有责任保护我们客户的信息和软件 服务我们 认真地提供给他们.

我们希望安全研究人员能够放心地报告他们发现的漏洞 这项政策使我们能够补救他们,并帮助我们保存我们的信息、软件和服务 提供安全.

该政策描述了研究的系统和类型, 交战规则, 如何发送给我们 漏洞报告,以及我们要求安全研究人员在公开披露之前等待多长时间 漏洞. 我们保留随时更新此政策的权利,所以请查看该政策 定期.

目的

我们漏洞披露策略的主要目标是帮助确保漏洞得到修补或修复 以确保我们的客户和用户的信息安全为最终目标. 这一政策是 旨在为报告潜在未知或有害的安全漏洞提供明确的指导方针.

的指导方针

我们要求您:

  1. 尽一切努力避免侵犯隐私, 用户体验退化, 中断生产 系统,数据的破坏或操作.
  2. 仅在确认漏洞所必需的程度上使用漏洞. 不利用漏洞来妥协还是 Exfiltrate数据,建立命令行访问和/或持久性,或使用利用“pivot” 到其他 系统. 一旦确定存在漏洞,或遇到任何敏感数据 如下所示,您必须停止测试并立即通知我们.
  3. 对发现的漏洞的任何信息都要保密. 有关详情,请参阅 协调披露部分.

范围

此策略适用于*.solarwinds.Com域名和产品:
http://www.kouluttajafoorumi.net/downloads 

以上未明确列出的任何产品或服务, 例如任何连接的服务, 是否被排除在范围之外 并没有被授权进行测试.

此外,在我们的服务提供商的系统中发现的漏洞不在此政策的范围内 范围和 应根据其披露政策(如有)直接向服务提供商报告. 如果你是 如果不确定系统或端点是否在范围内,请万博体育msport下载 PSIRT@kouluttajafoorumi.net 开始前 您的研究,让我们帮助您确定活动是否在范围内.

交战规则

我们只是要求研究人员遵循这些简单的规则来限制我们公司的潜力 和/或我们的客户数据可能面临风险:

  1. 不要以冒机密性风险的方式利用已识别的漏洞, 完整性, 和/或 在测试过程中,您不明确拥有的任何资源的可用性.
  2. 不要用你的发现去钓鱼, 垃圾邮件, 社会工程师, 或以其他方式欺骗任何客户或太阳风公司 员工在测试中获得更多的访问权限.
  3. 不尝试物理访问太阳风属性, 尝试对员工进行社会工程, 或以其他方式 尝试在数字手段之外发现太阳风的风险.
  4. 不执行拒绝服务(DoS)或分布式拒绝服务(DDoS)攻击任何 万博体育资源,以证明对一个可疑的安全问题的影响.

如果您在此策略范围内进行测试时遇到以下任何情况, 我们要求你停止你的 检测并立即通知我们:

  • 个人身份信息
  • 财务信息(e.g.、信用卡或银行帐号)
  • 你怀疑的信息, 或者可以合理地考虑, 本公司的专有或商业秘密 公司或任何其他方
  • 拒绝服务或站点和应用程序没有响应的情况

报告一个漏洞

我们接受漏洞报告通过电子邮件 PSIRT@kouluttajafoorumi.net. 我们也支持pgp加密的电子邮件和 我们的公钥是可用的,以确保任何与太阳风的通信.

你的报告应包括:

  1. 漏洞的位置和潜在影响的描述.
  2. 详细描述重现该漏洞所需的步骤. 概念证明(POC) 脚本、屏幕截图和屏幕截图都很有用. 请非常小心地贴好标签 保护任何攻击代码.
  3. 任何技术信息和相关材料,我们将需要复制的问题.
  4. 请随时更新您的漏洞报告,一旦有新的信息可用,请发送给我们.

我们可能会将您的漏洞报告分享给外部第三方以及任何受影响的供应商或开源 项目.

授权

您必须遵守所有适用的联邦规定, 状态, 还有与你的安全研究有关的当地法律 本漏洞披露计划的活动或其他参与.

如果您在安全研究期间做出了真诚的努力遵守此政策, 我们会考虑你的 研究以符合这一政策,我们将与您一起工作,以理解和解决问题迅速. -理解我们不能控制第三方的权利或要求.

协调披露

万博体育致力于修复向我们报告的经过验证和验证的漏洞,并披露 当我们对产品进行更新时,这些漏洞的详细信息将在产品发布说明中列出 可用. 我们知道,公开披露漏洞可能是漏洞的一个重要部分 让软件变得更好的最好方法之一就是让每个人都能从中学习 对方的错误.

同时, 我们认为,如果没有现成的解决方案,披露信息往往会增加风险 比降低, 因此,我们请求您不要与他人分享您的报告,而我们正在制定一个 客户可用的修复. 如果您认为在修复之前应该通知其他人您的报告 是否可以,请告知,以便我们考虑其他安排.

我们欢迎并支持共同发表协调一致的咨询意见, 但你也可以自我披露,如果 你喜欢. 在默认情况下,我们倾向于披露一切,但除非在我们可能被要求的情况下 由法律规定, 我们将本着诚信行事,绝不发布有关您的信息或我们与您的沟通 你的许可. 在某些情况下,我们可能也有一些敏感信息应该被编辑,所以 请在自我披露前与我们确认.

你能从我们这里期待什么

  1. 当您选择与我们分享您的联系信息时, 我们承诺与你公开协调 尽可能快.
  2. 我们会在3个工作日内确认您的报告已收到.
  3. 尽我们所能, 我们将向你们确认漏洞的存在,并保持透明 尽可能了解我们在补救过程中采取的步骤, 包括问题或挑战 这可能会延迟解决.
  4. 我们将保持公开对话,讨论问题.

万博体育 PSIRT PGP公钥

当我们向万博体育发送关于漏洞和/或其他敏感安全信息时,我们会问这个问题 您对与安全团队的通信进行加密. 我们已经发布了一个公共的PGP密钥,您可以使用它来:

  • 验证向太阳风发出的安全通知的真实性
  • 将任何包含敏感信息的消息加密到万博体育 psirt@kouluttajafoorumi.net.
  • 请不要发送个人身份信息给我们.

获取PGP密钥

你可以从PGP公司获得PGP桌面的商业或免费试用版本. 此外,GnuPG 可以免费.

太阳风安全团队PGP密钥

上传安全团队公钥以确保安全, 发布最新PSIRT密钥的全局PGP目录, 有效期和证书撤销状态.

万博体育 PSIRT公钥发布到这些PGP全局目录:

http://pgp.circl.lu/

http://keys.gnupg.net/

{{静态内容}}
{{CAPTION_TITLE}}

{{CAPTION_CONTENT}}

{{标题}}