Policy för sårbarhetsrapportering | OneSuite

Rapportera sårbarheter i OneSuite-system

Introduktion

Hos OneSuite är informationssäkerhet en högsta prioritet och vi är engagerade i att skydda konfidentialiteten, integriteten och tillgängligheten hos våra system och data. Denna policy ger säkerhetsforskare tydliga riktlinjer för att genomföra sårbarhetsforskning och beskriver hur sårbarheter kan rapporteras ansvarsfullt till oss.

Detta dokument specificerar vilka system och typer av forskning som omfattas av denna policy, hur sårbarhetsrapporter ska lämnas in och vilka tidsramar vi föreslår för offentliggörande.

Vi uppmuntrar säkerhetsforskare att rapportera sårbarheter enligt beskrivningen i denna policy. Era insatser hjälper oss att åtgärda potentiella problem och upprätthålla säkerheten i OneSuite-ekosystemet.

Auktorisering

Om du i god tro anstränger dig för att följa denna policy, betraktar OneSuite din forskning som auktoriserad. Vi kommer att samarbeta med dig för att förstå och lösa problemet snabbt och kommer inte att rekommendera eller vidta rättsliga åtgärder i samband med din forskning.

Om en tredje part inleder rättsliga åtgärder mot dig för aktiviteter som utförts i enlighet med denna policy, kommer OneSuite att offentliggöra denna auktorisering.

Riktlinjer

Under denna policy avser "forskning" aktiviteter där du:

  • Meddelar oss så snart som möjligt efter att du upptäcker ett verkligt eller potentiellt säkerhetsproblem.
  • Utför analyser enbart inom det definierade omfånget.
  • Undviker integritetskränkningar, försämring av användarupplevelsen, störning av produktionssystem samt förstörelse eller manipulation av data.
  • Använder exploits enbart i den utsträckning som krävs för att bekräfta förekomsten av en sårbarhet. Använd inte exploits för att kompromettera eller exfiltrera data, erhålla kommandoradsåtkomst eller pivotera till andra system.
  • Ger oss en rimlig tidsram för att åtgärda problemet innan du offentliggör det.
  • Undviker att lämna in ett stort antal rapporter av låg kvalitet.

När du har fastställt att en sårbarhet föreligger, eller stöter på känsliga uppgifter (inklusive personuppgifter, finansiella uppgifter eller proprietär information eller affärshemligheter tillhörande någon part), måste du avbryta ditt test, omedelbart meddela oss och inte lämna ut dessa uppgifter till någon annan.

Omfång

Denna policy gäller för följande system och tjänster:

  • *.onesuite.io

Frågor utanför omfånget

Följande frågor anses ligga utanför denna policys omfång:

  • Testning av OneSuite-kunders tillgångar.
  • Modellhallucinationer.
  • Problem med innehållsmoderering eller rekrytering.
  • Säkerhetsrutiner som mildras av andra kontroller (t.ex. saknade säkerhetsrubriker).
  • Social ingenjörskonst, nätfiske och fysiska attacker.
  • Problem som saknade cookie-flaggor, CSRF med låg påverkan (t.ex. inloggnings-/utloggnings-CSRF), innehållsförfalskning eller stackspårningar.
  • Sårbarheter utan påvisbar säkerhetspåverkan.
  • DOS/DDOS-attacker.
  • Host header-injektion utan påverkan.
  • Skannerutdata, serverfelsmeddelanden (om de inte avslöjar kritisk information).
  • Rapporter om föråldrade webbläsare eller icke-kritiska buggar.

Alla tjänster som inte uttryckligen anges i avsnittet "Omfång" ovan, såsom anslutna tjänster, är undantagna från omfånget och är inte auktoriserade för testning. Därutöver faller sårbarheter som hittas i våra leverantörers system utanför denna policys omfång och bör rapporteras direkt till leverantören i enlighet med deras policy för offentliggörande (om tillgänglig). Om du är osäker på om ett system ingår i omfånget, kontakta oss på [email protected] innan du påbörjar din forskning.

Erkännande

Även om OneSuite för närvarande inte erbjuder ekonomiska belöningar, värdesätter vi dina bidrag. Som ett tecken på vår uppskattning kommer vi att erkänna din hjälp på vår sida för erkännande av säkerhetsoffentliggöranden, såvida du inte föredrar att förbli anonym. Vi arbetar med att implementera ett bug bounty-program för att möjliggöra ekonomiska belöningar i framtiden.

Rapportera en sårbarhet

Information som lämnas in under denna policy kommer uteslutande att användas i defensiva syften. Om dina resultat avslöjar sårbarheter som påverkar den bredare användargemenskapen kan vi dela din rapport med Cybersecurity and Infrastructure Security Agency (CISA). Vi kommer inte att lämna ut ditt namn eller dina kontaktuppgifter utan ditt tillstånd.

Vad vi önskar se

För att hjälpa oss att effektivt triage och prioritera inlämningar, vänligen ange följande:

  • Sårbarhetens plats och potentiella påverkan.
  • En detaljerad beskrivning av de steg som krävs för att reproducera sårbarheten (t.ex. proof-of-concept-skript, skärmdumpar).
  • Rapporter på engelska.

Vad du kan förvänta dig av oss

Om du delar dina kontaktuppgifter förbinder vi oss till följande:

  • Bekräftelse av mottagande av din rapport inom 14 arbetsdagar.
  • Bekräftelse av sårbarhetens existens och information om vår åtgärdsprocess, inklusive eventuella förseningar.

Observera att OneSuite inte erbjuder ersättning för inlämnade sårbarheter. Genom att lämna in en rapport avsäger du dig eventuella anspråk på ersättning.

Frågor

För frågor eller förslag angående denna policy, kontakta oss på [email protected].

Senast uppdaterad: November 12, 2024