Haavoittuvuusilmoitusten käytäntö | OneSuite

Ilmoita haavoittuvuuksista OneSuiten jarjestelmissa

Johdanto

OneSuitessa tietoturva on korkeimmalla prioriteetilla, ja olemme sitoutuneet suojaamaan jarjestelmiemme ja tietojemme luottamuksellisuutta, eheyttä ja saatavuutta. Tama kaytanto tarjoaa tietoturvatutkijoille selkeat ohjeet haavoittuvuustutkimuksen suorittamiseen ja kuvaa, miten haavoittuvuuksista voidaan ilmoittaa meille vastuullisesti.

Tama asiakirja maarittelee, mitka jarjestelmat ja tutkimustyypit kuuluvat taman kaytannon piiriin, miten haavoittuvuusraportteja lahetetaan ja mitka aikataulut ehdotamme julkista paljastamista varten.

Kannustamme tietoturvatutkijoita ilmoittamaan haavoittuvuuksista tassa kaytannossa kuvatulla tavalla. Pyrkimyksesi auttavat meita korjaamaan mahdollisia ongelmia ja yllapitamaan OneSuite-ekosysteemin turvallisuutta.

Valtuutus

Jos pyrit vilpittomasti noudattamaan tata kaytantoa, OneSuite katsoo tutkimuksesi valtuutetuksi. Tyoskentelemme kanssasi ymmaertaaksemme ja ratkaistaksemme ongelman nopeasti emmekä suosittele tai aja oikeustoimia tutkimukseesi liittyen.

Jos kolmas osapuoli kaynnistaisi oikeustoimia sinua vastaan taman kaytannon mukaisesti suoritetuista toimista, OneSuite tekee taman valtuutuksen tunnetuksi.

Ohjeet

Taman kaytannon nojalla "tutkimus" viittaa toimintaan, jossa:

  • Ilmoitat meille mahdollisimman pian havaittuasi todellisen tai mahdollisen tietoturvaongelman.
  • Suoritat analyysin vain maaritellyn laajuuden puitteissa.
  • Valtat yksityisyyden loukkaukset, kayttajakokemuksen heikentamisen, tuotantojarjestelmien hairitsemisen seka tietojen tuhoamisen tai manipuloinnin.
  • Kaytat hyvaksikayttoja vain siina maarin kuin on tarpeen haavoittuvuuden olemassaolon vahvistamiseksi. Ala kayta hyvaksikayttoja tietojen vaarantamiseen tai suodattamiseen, komentorivipaasyn saamiseen tai muihin jarjestelmiin siirtymiseen.
  • Annat meille kohtuullisen ajan korjata ongelma ennen sen julkista paljastamista.
  • Valtat lahettamasta suurta maaraa heikkolaatuisia raportteja.

Kun olet todennut haavoittuvuuden olemassaolon tai tormaat arkaluontoisiin tietoihin (mukaan lukien henkilotiedot, taloustiedot tai minkä tahansa osapuolen omistusoikeudelliset tiedot tai liikesalaisuudet), sinun on lopetettava testaaminen, ilmoitettava meille valittomasti etka saa paljastaa naita tietoja kenellekaan muulle.

Soveltamisala

Tama kaytanto koskee seuraavia jarjestelmia ja palveluita:

  • *.onesuite.io

Soveltamisalan ulkopuolelle jaavat asiat

Seuraavat asiat katsotaan taman kaytannon soveltamisalan ulkopuolisiksi:

  • OneSuiten asiakkaiden resurssien testaaminen.
  • Mallin hallusinaatiot.
  • Sisallonmoderointiin tai rekrytointiin liittyvat ongelmat.
  • Muiden kontrollien lieventamat turvallisuuskaytannot (esim. puuttuvat turvallisuusotsikot).
  • Sosiaalinen manipulointi, tietojenkalastelu ja fyysiset hyokkäykset.
  • Ongelmat kuten puuttuvat evaste-liput, matalan vaikutuksen CSRF (esim. kirjautumis-/uloskirjautumis-CSRF), sisallonvaarennos tai pinojaljet.
  • Haavoittuvuudet, joilla ei ole osoitettavissa olevaa tietoturvavaikutusta.
  • DOS/DDOS-hyokkäykset.
  • Isantaotsikon injektio ilman vaikutusta.
  • Skannerin tulosteet, palvelimen virheilmoitukset (ellei ne paljasta kriittistä tietoa).
  • Raportit vanhentuneista selaimista tai ei-kriittisistä virheistä.

Kaikki palvelut, joita ei ole nimenomaisesti lueteltu yllaolevassa "Soveltamisala"-osiossa, kuten yhdistetyt palvelut, on suljettu soveltamisalan ulkopuolelle eika niiden testaaminen ole valtuutettua. Lisaksi toimittajiemme jarjestelmistä löydetyt haavoittuvuudet jaavat taman kaytannon soveltamisalan ulkopuolelle ja ne tulee ilmoittaa suoraan toimittajalle heidan paljastamiskaytantonsa mukaisesti (jos sellainen on). Jos et ole varma, kuuluuko jarjestelma soveltamisalaan, ota meihin yhteytta osoitteessa [email protected] ennen tutkimuksesi aloittamista.

Tunnustus

Vaikka OneSuite ei talla hetkella tarjoa taloudellisia palkkioita, arvostamme panostasi. Kiitoksen merkiksi tunnustamme apusi tietoturvapaljastusten tunnustus -sivullamme, ellei toivo pysyvasi nimettomana. Tyoskentelemme bug bounty -ohjelman toteuttamiseksi taloudellisten palkkioiden mahdollistamiseksi tulevaisuudessa.

Haavoittuvuudesta ilmoittaminen

Taman kaytannon nojalla lahetettya tietoa kaytetaan yksinomaan puolustustarkoituksiin. Jos havaintosi paljastavat laajempaa kayttajayhteisoa koskevia haavoittuvuuksia, saatamme jakaa raporttisi Cybersecurity and Infrastructure Security Agencyn (CISA) kanssa. Emme paljasta nimeasi tai yhteystietojasi ilman lupaasi.

Mita haluaisimme nahda

Auttaaksesi meita tehokkaassa lajittelussa ja priorisoinnissa, anna seuraavat tiedot:

  • Haavoittuvuuden sijainti ja mahdollinen vaikutus.
  • Yksityiskohtainen kuvaus haavoittuvuuden toistamiseen vaadittavista vaiheista (esim. todistusskriptit, kuvakaappaukset).
  • Raportit englanniksi.

Mita voit odottaa meiltä

Jos jaat yhteystietosi, sitoudumme seuraavaan:

  • Raporttisi vastaanoton kuittaaminen 14 arkipaivan kuluessa.
  • Haavoittuvuuden olemassaolon vahvistaminen ja tiedot korjausprosessistamme, mukaan lukien mahdolliset viivastykset.

Huomaa, etta OneSuite ei tarjoa korvausta ilmoitetuista haavoittuvuuksista. Lahettamalla raportin luovut kaikista korvausvaatimuksista.

Kysymykset

Kysymyksiin tai ehdotuksiin tasta kaytannosta, ota yhteytta meihin osoitteessa [email protected].

Viimeksi paivitetty: November 12, 2024