سياسة الإفصاح عن الثغرات | OneSuite

الإبلاغ عن الثغرات الأمنية في أنظمة OneSuite

مقدمة

في OneSuite، يُعدّ أمن المعلومات أولوية قصوى، ونحن ملتزمون بحماية سرية أنظمتنا وبياناتنا وسلامتها وتوافرها. توفر هذه السياسة للباحثين الأمنيين إرشادات واضحة لإجراء أبحاث الثغرات الأمنية، وتصف كيفية الإبلاغ عن الثغرات بشكل مسؤول.

تحدد هذه الوثيقة الأنظمة وأنواع الأبحاث التي تشملها هذه السياسة، وكيفية تقديم تقارير الثغرات الأمنية، والجداول الزمنية التي نقترحها للإفصاح العلني.

نشجع الباحثين الأمنيين على الإبلاغ عن الثغرات وفقاً لما هو موضح في هذه السياسة. تساعدنا جهودكم في معالجة المشكلات المحتملة والحفاظ على أمن منظومة OneSuite.

التفويض

إذا بذلتم جهداً حسن النية للامتثال لهذه السياسة، فإن OneSuite تعتبر بحثكم مفوّضاً. سنتعاون معكم لفهم المشكلة وحلها بسرعة، ولن نوصي باتخاذ إجراءات قانونية تتعلق ببحثكم أو نسعى إليها.

في حال قام طرف ثالث برفع دعوى قانونية ضدكم بسبب أنشطة أُجريت وفقاً لهذه السياسة، ستُعلن OneSuite عن هذا التفويض.

الإرشادات

بموجب هذه السياسة، يشير مصطلح "البحث" إلى الأنشطة التي تقومون فيها بما يلي:

  • إخطارنا في أقرب وقت ممكن بعد اكتشاف مشكلة أمنية فعلية أو محتملة.
  • إجراء التحليل فقط ضمن النطاق المحدد.
  • تجنب انتهاكات الخصوصية، وتدهور تجربة المستخدم، وتعطيل أنظمة الإنتاج، وتدمير البيانات أو التلاعب بها.
  • استخدام الثغرات فقط بالقدر اللازم لتأكيد وجودها. لا تستخدموا الثغرات لاختراق البيانات أو تسريبها، أو الحصول على وصول لسطر الأوامر، أو التنقل إلى أنظمة أخرى.
  • منحنا إطاراً زمنياً معقولاً لإصلاح المشكلة قبل الإفصاح عنها علنياً.
  • تجنب تقديم عدد كبير من التقارير منخفضة الجودة.

بمجرد تحديد وجود ثغرة أمنية، أو مصادفة بيانات حساسة (بما في ذلك البيانات الشخصية أو المالية أو المعلومات المملوكة أو الأسرار التجارية لأي طرف)، يجب عليكم إيقاف الاختبار فوراً، وإخطارنا على الفور، وعدم الإفصاح عن هذه البيانات لأي شخص آخر.

النطاق

تسري هذه السياسة على الأنظمة والخدمات التالية:

  • *.onesuite.io

المسائل خارج النطاق

تُعتبر المسائل التالية خارج نطاق هذه السياسة:

  • اختبار أصول عملاء OneSuite.
  • هلوسات النماذج.
  • مسائل إدارة المحتوى أو التوظيف.
  • الممارسات الأمنية المخففة بضوابط أخرى (مثل رؤوس الأمان المفقودة).
  • الهندسة الاجتماعية والتصيد الاحتيالي والهجمات المادية.
  • مسائل مثل علامات ملفات تعريف الارتباط المفقودة، وCSRF منخفض التأثير (مثل CSRF لتسجيل الدخول/الخروج)، وانتحال المحتوى، أو تتبع المكدس.
  • الثغرات التي ليس لها تأثير أمني قابل للإثبات.
  • هجمات DOS/DDOS.
  • حقن رأس المضيف دون تأثير.
  • مخرجات الماسحات الضوئية، ورسائل خطأ الخادم (ما لم تكشف عن معلومات حساسة).
  • التقارير المتعلقة بالمتصفحات القديمة أو الأخطاء غير الحرجة.

جميع الخدمات غير المدرجة صراحة في قسم "النطاق" أعلاه، مثل الخدمات المتصلة، مستبعدة من النطاق وغير مصرح باختبارها. بالإضافة إلى ذلك، تقع الثغرات المكتشفة في أنظمة مورّدينا خارج نطاق هذه السياسة ويجب الإبلاغ عنها مباشرة إلى المورّد وفقاً لسياسة الإفصاح الخاصة به (إن وُجدت). إذا لم تكونوا متأكدين مما إذا كان النظام ضمن النطاق، تواصلوا معنا على [email protected] قبل البدء في بحثكم.

التقدير

على الرغم من أن OneSuite لا تقدم حالياً مكافآت مالية، إلا أننا نقدّر مساهماتكم. كتعبير عن تقديرنا، سنعترف بمساعدتكم على صفحة تقدير الإفصاح الأمني ما لم تفضلوا عدم الكشف عن هويتكم. نعمل حالياً على تنفيذ برنامج مكافآت الثغرات لتمكين المكافآت المالية في المستقبل.

الإبلاغ عن ثغرة أمنية

ستُستخدم المعلومات المقدمة بموجب هذه السياسة حصرياً لأغراض دفاعية. إذا كشفت نتائجكم عن ثغرات تؤثر على مجتمع المستخدمين الأوسع، فقد نشارك تقريركم مع وكالة الأمن السيبراني وأمن البنية التحتية (CISA). لن نكشف عن اسمكم أو معلومات الاتصال الخاصة بكم دون إذنكم.

ما نودّ رؤيته

لمساعدتنا في فرز وتحديد أولويات الطلبات بفعالية، يُرجى تقديم ما يلي:

  • موقع الثغرة الأمنية وتأثيرها المحتمل.
  • وصف مفصّل للخطوات المطلوبة لإعادة إنتاج الثغرة (مثل نصوص إثبات المفهوم، لقطات الشاشة).
  • التقارير باللغة الإنجليزية.

ما يمكنكم توقعه منا

إذا شاركتم معلومات الاتصال الخاصة بكم، فإننا نلتزم بما يلي:

  • تأكيد استلام تقريركم خلال 14 يوم عمل.
  • تأكيد وجود الثغرة وتقديم معلومات حول عملية المعالجة، بما في ذلك أي تأخيرات محتملة.

يُرجى ملاحظة أن OneSuite لا تقدم تعويضاً عن الثغرات المُبلغ عنها. بتقديم تقرير، تتنازلون عن أي مطالبات بالتعويض.

أسئلة

للاستفسارات أو الاقتراحات حول هذه السياسة، تواصلوا معنا على [email protected].

آخر تحديث: November 12, 2024