漏洞披露政策 | OneSuite

报告OneSuite系统中的漏洞

简介

在OneSuite，信息安全是首要任务，我们致力于保护系统和数据的机密性、完整性及可用性。本政策为安全研究人员提供了进行漏洞研究的明确指南，并描述了如何以负责任的方式向我们报告漏洞。

本文件规定了本政策涵盖的系统和研究类型、如何提交漏洞报告，以及我们建议的公开披露时间表。

我们鼓励安全研究人员按照本政策所述报告漏洞。您的努力有助于我们解决潜在问题并维护OneSuite生态系统的安全。

授权

如果您善意地遵守本政策，OneSuite将视您的研究为经授权的。我们将与您合作，快速了解并解决问题，且不会建议或采取与您研究相关的法律行动。

如果第三方因您按照本政策进行的活动对您提起法律诉讼，OneSuite将公开此授权。

指南

在本政策下，"研究"指您从事以下活动：

• 在发现真实或潜在安全问题后尽快通知我们。
• 仅在规定范围内进行分析。
• 避免侵犯隐私、降低用户体验、中断生产系统以及破坏或篡改数据。
• 仅在确认漏洞存在所需的范围内使用漏洞利用手段。不得利用漏洞窃取或导出数据、获取命令行访问权限或转向其他系统。
• 在公开披露之前，给予我们合理的时间来修复问题。
• 避免提交大量低质量报告。

一旦确定漏洞存在，或遇到敏感数据（包括个人数据、财务数据或任何方的专有信息或商业秘密），您必须停止测试，立即通知我们，且不得向任何其他人披露此数据。

范围

本政策适用于以下系统和服务：

• *.onesuite.io

范围外问题

以下问题被视为本政策的范围之外：

• 对OneSuite客户资产的测试。
• 模型幻觉。
• 内容审核或招聘问题。
• 已被其他控制措施缓解的安全实践（例如，缺少安全头）。
• 社会工程、网络钓鱼和物理攻击。
• 缺少cookie标志、低影响CSRF（例如，登录/注销CSRF）、内容欺骗或堆栈跟踪等问题。
• 没有可证明安全影响的漏洞。
• DOS/DDOS攻击。
• 无影响的主机头注入。
• 扫描器输出、服务器错误消息（除非它们泄露关键信息）。
• 关于过时浏览器或非关键性错误的报告。

未在上述"范围"部分明确列出的所有服务（如关联服务）均不在范围内，且未经授权进行测试。此外，在我们供应商系统中发现的漏洞不在本政策范围内，应根据其披露政策（如有）直接向供应商报告。如果您不确定某个系统是否在范围内，请在开始研究之前通过 [email protected] 联系我们。

致谢

虽然OneSuite目前不提供经济奖励，但我们重视您的贡献。作为感谢，我们将在我们的安全披露致谢页面上对您的帮助予以认可，除非您希望保持匿名。我们正在努力实施漏洞赏金计划，以在未来提供经济奖励。

报告漏洞

根据本政策提交的信息将仅用于防御目的。如果您的发现揭示了影响更广泛用户群体的漏洞，我们可能会将您的报告分享给网络安全和基础设施安全局（CISA）。未经您的许可，我们不会披露您的姓名或联系信息。

我们希望看到的内容

为帮助我们有效地分类和确定提交的优先级，请提供以下信息：

• 漏洞的位置和潜在影响。
• 重现漏洞所需步骤的详细描述（例如，概念验证脚本、截图）。
• 以英文撰写的报告。

您可以期待我们做什么

如果您分享了联系方式，我们承诺以下事项：

• 在14个工作日内确认收到您的报告。
• 确认漏洞的存在以及有关我们修复流程的信息，包括任何可能的延迟。

请注意，OneSuite不对提交的漏洞提供补偿。提交报告即表示您放弃任何补偿要求。

问题

如对本政策有任何问题或建议，请通过 [email protected] 联系我们。

最后更新： November 12, 2024