Politik for ansvarlig offentliggørelse af sårbarheder | OneSuite

Rapportér sårbarheder i OneSuite-systemer

Introduktion

Hos OneSuite er informationssikkerhed en topprioritet, og vi er forpligtet til at beskytte fortroligheden, integriteten og tilgængeligheden af vores systemer og data. Denne politik giver sikkerhedsforskere klare retningslinjer for udførelse af sårbarhedsforskning og beskriver, hvordan sårbarheder kan rapporteres ansvarligt til os.

Dette dokument specificerer, hvilke systemer og typer af forskning der er dækket af denne politik, hvordan sårbarhedsrapporter indsendes, og hvilke tidsrammer vi foreslår for offentliggørelse.

Vi opfordrer sikkerhedsforskere til at rapportere sårbarheder som beskrevet i denne politik. Jeres indsats hjælper os med at adressere potentielle problemer og opretholde sikkerheden i OneSuite-økosystemet.

Autorisation

Hvis du i god tro bestræber dig på at overholde denne politik, betragter OneSuite din forskning som autoriseret. Vi vil samarbejde med dig om at forstå og løse problemet hurtigt og vil ikke anbefale eller forfølge retlige skridt i forbindelse med din forskning.

Skulle en tredjepart indlede retlige skridt mod dig for aktiviteter udført i overensstemmelse med denne politik, vil OneSuite gøre denne autorisation kendt.

Retningslinjer

Under denne politik refererer "forskning" til aktiviteter, hvor du:

  • Underretter os så hurtigt som muligt efter, at du opdager et reelt eller potentielt sikkerhedsproblem.
  • Udfører analyser udelukkende inden for det definerede omfang.
  • Undgår krænkelser af privatlivets fred, forringelse af brugeroplevelsen, forstyrrelse af produktionssystemer samt ødelæggelse eller manipulation af data.
  • Kun bruger exploits i det omfang, der er nødvendigt for at bekræfte tilstedeværelsen af en sårbarhed. Brug ikke exploits til at kompromittere eller eksfiltrere data, opnå kommandolinjeadgang eller bevæge dig til andre systemer.
  • Giver os en rimelig tidsfrist til at løse problemet, inden du offentliggør det.
  • Undgår at indsende et stort antal rapporter af lav kvalitet.

Når du har fastslået, at en sårbarhed eksisterer, eller støder på følsomme data (herunder persondata, finansielle data eller ejendomsretligt beskyttede oplysninger eller forretningshemmeligheder tilhørende nogen part), skal du stoppe din test, straks underrette os og ikke videregive disse data til andre.

Omfang

Denne politik gælder for følgende systemer og tjenester:

  • *.onesuite.io

Emner uden for omfanget

Følgende emner anses for at være uden for denne politiks omfang:

  • Test af OneSuite-kunders aktiver.
  • Modelhallucinationer.
  • Problemer med indholdsmoderation eller rekruttering.
  • Sikkerhedspraksis, der mindskes af andre kontroller (f.eks. manglende sikkerhedsheadere).
  • Social engineering, phishing og fysiske angreb.
  • Problemer som manglende cookie-flag, CSRF med lav indvirkning (f.eks. login/logout-CSRF), indholdsforfalskelse eller stack traces.
  • Sårbarheder uden påviselig sikkerhedsmæssig indvirkning.
  • DOS/DDOS-angreb.
  • Host header injection uden indvirkning.
  • Scanneruddata, serverfejlmeddelelser (medmindre de afslører kritiske oplysninger).
  • Rapporter om forældede browsere eller ikke-kritiske fejl.

Alle tjenester, der ikke udtrykkeligt er anført i afsnittet "Omfang" ovenfor, såsom tilknyttede tjenester, er udelukket fra omfanget og er ikke autoriseret til test. Derudover falder sårbarheder fundet i vores leverandørers systemer uden for denne politiks omfang og bør rapporteres direkte til leverandøren i overensstemmelse med deres offentliggørelsespolitik (hvis tilgængelig). Hvis du er usikker på, om et system er inden for omfanget, kontakt os venligst på [email protected], inden du påbegynder din forskning.

Anerkendelse

Selvom OneSuite på nuværende tidspunkt ikke tilbyder økonomiske belønninger, værdsætter vi dine bidrag. Som et tegn på vores påskønnelse vil vi anerkende din hjælp på vores side for anerkendelse af sikkerhedsoffentliggørelser, medmindre du foretrækker at forblive anonym. Vi arbejder på at implementere et bug bounty-program for at muliggøre økonomiske belønninger i fremtiden.

Rapportér en sårbarhed

Oplysninger indsendt under denne politik vil udelukkende blive brugt til defensive formål. Hvis dine fund afslører sårbarheder, der påvirker det bredere brugerfællesskab, kan vi dele din rapport med Cybersecurity and Infrastructure Security Agency (CISA). Vi vil ikke videregive dit navn eller dine kontaktoplysninger uden din tilladelse.

Hvad vi gerne vil se

For at hjælpe os med effektivt at triagere og prioritere indsendelser bedes du angive følgende:

  • Sårbarhedens placering og potentielle indvirkning.
  • En detaljeret beskrivelse af de trin, der kræves for at reproducere sårbarheden (f.eks. proof-of-concept scripts, skærmbilleder).
  • Rapporter på engelsk.

Hvad du kan forvente af os

Hvis du deler dine kontaktoplysninger, forpligter vi os til følgende:

  • Bekræftelse af modtagelse af din rapport inden for 14 hverdage.
  • Bekræftelse af sårbarhedens eksistens og oplysninger om vores afhjælpningsproces, herunder eventuelle forsinkelser.

Bemærk venligst, at OneSuite ikke tilbyder kompensation for indsendte sårbarheder. Ved at indsende en rapport frasiger du dig eventuelle krav på kompensation.

Spørgsmål

For spørgsmål eller forslag vedrørende denne politik, kontakt os venligst på [email protected].

Sidst opdateret: November 12, 2024