概述
在 Edovia,安全是重中之重,我们欢迎安全研究人员和公众负责任地报告漏洞。如果您认为您在我们的产品或服务中发现了安全问题、隐私问题或暴露的数据,我们鼓励您与我们分享。本文档概述了如何报告安全问题、我们的承诺和期望。
范围
本政策适用于:
- Edovia 软件和产品
- Edovia 运营的服务和基础设施
- 与我们的产品相关的文档
排除
以下类型的报告不在本政策的范围内:
- 物理安全问题(例如,办公室访问、未经授权的进入)
- 社会工程攻击(例如,网络钓鱼、冒充企图)
- 范围部分未明确列出的系统中的问题
- 外观问题(例如,没有安全影响的 UI/UX 错误)
- 印刷错误
- 拒绝服务 (DoS/DDoS) 漏洞
- 不受 Edovia 管理的第三方服务
如果您发现超出范围的系统中存在问题,我们鼓励您将其报告给相应的供应商或组织。
您能从我们这里得到什么
当您真诚地报告有效的安全问题时,我们将:
- 确认您的报告并尽快开始评估
- 在报告审核期间向您通报报告状态
- 根据安全漏洞的严重性和影响程度努力解决安全漏洞
- 在披露遵循本政策中的准则时提供安全港保护
负责任的披露准则
为确保负责任和有效的披露流程,我们要求您:
- 在调查安全问题时遵守本政策和任何适用条款
- 及时报告调查结果并避免可能扰乱服务或用户的行为
- 将测试限制在证明问题所需的范围内
- 使用官方渠道传达安全问题
- 在公开披露之前给我们合理的时间来解决问题
- 仅测试范围内的系统并避免任何明确排除的目标
- 使用您拥有或有明确权限使用的测试帐户
- 避免任何可能被解释为敲诈勒索或要求赔偿的行为
报告安全问题
要报告安全问题,请使用以下方式官方渠道:
https://edovia.com/.well-known/security.txt
您提供的详细信息越多,我们评估和解决问题的速度就越快。
安全港
如果您真诚地并按照本政策进行安全研究,我们将:
- 认为您的研究是根据适用的反黑客法律授权的
- 不对无意违反政策的行为采取法律行动
- 不对您的测试执行反规避法律
- 将您的发现视为提高安全性的努力,而不是违反我们的条款
如果第三方因符合本政策的研究对您采取法律行动,我们将告知您的行为遵循了负责任的披露原则。
如果您不确定您的测试是否符合本政策,请在继续之前与我们联系。
注意:安全港仅适用于 Edovia 控制下的法律索赔,不适用于独立第三方。
悬赏计划
请注意,Edovia 不参与漏洞悬赏或奖励计划。我们感谢负责任的漏洞报告,但目前不提供金钱奖励或其他形式的激励。