Retningslinjer for sårbarhetsrapportering | OneSuite

Rapporter saarbarheter i OneSuite-systemer

Introduksjon

Hos OneSuite er informasjonssikkerhet hoeyeste prioritet, og vi er forpliktet til aa beskytte konfidensialiteten, integriteten og tilgjengeligheten til vaare systemer og data. Denne retningslinjen gir sikkerhetsforskere tydelige retningslinjer for gjennomfoering av saarbarhetsforskning og beskriver hvordan saarbarheter kan rapporteres til oss paa en ansvarlig maate.

Dette dokumentet angir hvilke systemer og typer forskning som dekkes av denne retningslinjen, hvordan saarbarhetsrapporter skal sendes inn, og hvilke tidsfrister vi foreslaar for offentlig avsloering.

Vi oppfordrer sikkerhetsforskere til aa rapportere saarbarheter som beskrevet i denne retningslinjen. Din innsats hjelper oss med aa lse potensielle problemer og opprettholde sikkerheten i OneSuite-oekosystemet.

Autorisasjon

Hvis du i god tro bestreber deg paa aa overholde denne retningslinjen, anser OneSuite din forskning som autorisert. Vi vil samarbeide med deg for aa forstaa og lose problemet raskt, og vil ikke anbefale eller innlede rettslige skritt knyttet til din forskning.

Dersom en tredjepart innleder rettslige skritt mot deg for aktiviteter utfoert i samsvar med denne retningslinjen, vil OneSuite gjore denne autorisasjonen kjent.

Retningslinjer

I henhold til denne retningslinjen refererer "forskning" til aktiviteter der du:

  • Varsler oss saa snart som mulig etter at du oppdager et reelt eller potensielt sikkerhetsproblem.
  • Utfoerer analyse kun innenfor det definerte omfanget.
  • Unngaar personvernbrudd, forringelse av brukeropplevelsen, forstyrrelser av produksjonssystemer, og oedeleggelse eller manipulering av data.
  • Bruker utnyttelser kun i den grad det er noedvendig for aa bekrefte at en saarbarhet eksisterer. Ikke bruk utnyttelser til aa kompromittere eller eksfiltrere data, faa kommandolinjetilgang eller pivotere til andre systemer.
  • Gir oss en rimelig tidsfrist til aa fikse problemet foer du offentliggjoer det.
  • Unngaar aa sende inn et stort antall lavkvalitetsrapporter.

Naar du har fastslaat at en saarbarhet eksisterer, eller stoeter paa sensitive data (inkludert personopplysninger, finansielle data eller proprietaer informasjon eller forretningshemmeligheter tilhoerende noen part), maa du avslutte testen, varsle oss umiddelbart og ikke avslore disse dataene til noen andre.

Omfang

Denne retningslinjen gjelder for foelgende systemer og tjenester:

  • *.onesuite.io

Problemstillinger utenfor omfanget

Foelgende problemstillinger anses som utenfor omfanget av denne retningslinjen:

  • Testing av OneSuite-kunders eiendeler.
  • Modellhallusinasjoner.
  • Problemer med innholdsmoderering eller rekruttering.
  • Sikkerhetspraksis som er dempet av andre kontroller (f.eks. manglende sikkerhetsoverskrifter).
  • Sosial manipulering, phishing og fysiske angrep.
  • Problemer som manglende informasjonskapsel-flagg, CSRF med lav innvirkning (f.eks. innlogging/utlogging-CSRF), innholdsforfalskning eller stabelsporing.
  • Saarbarheter uten paaviselig sikkerhetsinnvirkning.
  • DOS/DDOS-angrep.
  • Vertshode-injeksjon uten innvirkning.
  • Skannerutdata, serverfeilmeldinger (med mindre de avsl0rer kritisk informasjon).
  • Rapporter om utdaterte nettlesere eller ikke-kritiske feil.

Alle tjenester som ikke er uttrykkelig oppfoert i avsnittet "Omfang" ovenfor, som tilknyttede tjenester, er ekskludert fra omfanget og er ikke autorisert for testing. I tillegg faller saarbarheter funnet i vaare leverandoerers systemer utenfor omfanget av denne retningslinjen og boer rapporteres direkte til leverandoeren i samsvar med deres avsloeringspolicy (hvis tilgjengelig). Hvis du er usikker paa om et system er innenfor omfanget, kontakt oss paa [email protected] foer du begynner forskningen din.

Anerkjennelse

Selv om OneSuite for tiden ikke tilbyr oekonomiske beloenninger, verdsetter vi dine bidrag. Som et tegn paa vaare takknemlighet vil vi anerkjenne din hjelp paa vaare side for anerkjennelse av sikkerhetsavsleringer med mindre du foretrekker aa forbli anonym. Vi arbeider med aa implementere et bug bounty-program for aa muliggjore oekonomiske beloenninger i fremtiden.

Rapportere en saarbarhet

Informasjon som sendes inn i henhold til denne retningslinjen vil utelukkende bli brukt til defensive formaal. Hvis dine funn avdekker saarbarheter som paavirker det bredere brukerfellesskapet, kan vi dele rapporten din med Cybersecurity and Infrastructure Security Agency (CISA). Vi vil ikke oppgi ditt navn eller kontaktinformasjon uten din tillatelse.

Hva vi gjerne vil se

For aa hjelpe oss med effektiv triagering og prioritering av innsendelser, vennligst oppgi foelgende:

  • Plasseringen og den potensielle innvirkningen av saarbarheten.
  • En detaljert beskrivelse av trinnene som krevas for aa reprodusere saarbarheten (f.eks. proof-of-concept-skript, skjermbilder).
  • Rapporter paa engelsk.

Hva du kan forvente av oss

Hvis du deler kontaktinformasjonen din, forplikter vi oss til foelgende:

  • Bekreftelse paa mottak av rapporten din innen 14 virkedager.
  • Bekreftelse paa saarbarhetens eksistens og informasjon om vaare utbedringsprosess, inkludert eventuelle forsinkelser.

Vaer oppmerksom paa at OneSuite ikke tilbyr kompensasjon for innsendte saarbarheter. Ved aa sende inn en rapport frasier du deg eventuelle krav om kompensasjon.

Spoersmaal

For spoersmaal eller forslag angaaende denne retningslinjen, kontakt oss paa [email protected].

Sist oppdatert: November 12, 2024