漏洞揭露政策 | OneSuite

報告OneSuite系統中的漏洞

簡介

在OneSuite，資訊安全是首要任務，我們致力於保護系統和資料的機密性、完整性及可用性。本政策為安全研究人員提供了進行漏洞研究的明確指南，並描述了如何以負責任的方式向我們報告漏洞。

本文件規定了本政策涵蓋的系統和研究類型、如何提交漏洞報告，以及我們建議的公開披露時間表。

我們鼓勵安全研究人員按照本政策所述報告漏洞。您的努力有助於我們解決潛在問題並維護OneSuite生態系統的安全。

授權

如果您善意地遵守本政策，OneSuite將視您的研究為經授權的。我們將與您合作，快速瞭解並解決問題，且不會建議或採取與您研究相關的法律行動。

如果第三方因您按照本政策進行的活動對您提起法律訴訟，OneSuite將公開此授權。

指南

在本政策下，「研究」指您從事以下活動：

• 在發現真實或潛在安全問題後儘快通知我們。
• 僅在規定範圍內進行分析。
• 避免侵犯隱私、降低使用者體驗、中斷生產系統以及破壞或篡改資料。
• 僅在確認漏洞存在所需的範圍內使用漏洞利用手段。不得利用漏洞竊取或匯出資料、取得命令列存取權限或轉向其他系統。
• 在公開披露之前，給予我們合理的時間來修復問題。
• 避免提交大量低品質報告。

一旦確定漏洞存在，或遇到敏感資料（包括個人資料、財務資料或任何方的專有資訊或商業秘密），您必須停止測試，立即通知我們，且不得向任何其他人披露此資料。

範圍

本政策適用於以下系統和服務：

• *.onesuite.io

範圍外問題

以下問題被視為本政策的範圍之外：

• 對OneSuite客戶資產的測試。
• 模型幻覺。
• 內容審核或招聘問題。
• 已被其他控制措施緩解的安全實務（例如，缺少安全標頭）。
• 社會工程、網路釣魚和實體攻擊。
• 缺少cookie標誌、低影響CSRF（例如，登入/登出CSRF）、內容偽造或堆疊追蹤等問題。
• 沒有可證明安全影響的漏洞。
• DOS/DDOS攻擊。
• 無影響的主機標頭注入。
• 掃描器輸出、伺服器錯誤訊息（除非它們洩露關鍵資訊）。
• 關於過時瀏覽器或非關鍵性錯誤的報告。

未在上述「範圍」部分明確列出的所有服務（如關聯服務）均不在範圍內，且未經授權進行測試。此外，在我們供應商系統中發現的漏洞不在本政策範圍內，應根據其披露政策（如有）直接向供應商報告。如果您不確定某個系統是否在範圍內，請在開始研究之前透過 [email protected] 聯繫我們。

致謝

雖然OneSuite目前不提供經濟獎勵，但我們重視您的貢獻。作為感謝，我們將在我們的安全披露致謝頁面上對您的幫助予以認可，除非您希望保持匿名。我們正在努力實施漏洞賞金計畫，以在未來提供經濟獎勵。

報告漏洞

根據本政策提交的資訊將僅用於防禦目的。如果您的發現揭示了影響更廣泛使用者群體的漏洞，我們可能會將您的報告分享給網路安全和基礎設施安全局（CISA）。未經您的許可，我們不會披露您的姓名或聯繫資訊。

我們希望看到的內容

為幫助我們有效地分類和確定提交的優先順序，請提供以下資訊：

• 漏洞的位置和潛在影響。
• 重現漏洞所需步驟的詳細描述（例如，概念驗證指令碼、螢幕截圖）。
• 以英文撰寫的報告。

您可以期待我們做什麼

如果您分享了聯繫方式，我們承諾以下事項：

• 在14個工作日內確認收到您的報告。
• 確認漏洞的存在以及有關我們修復流程的資訊，包括任何可能的延遲。

請注意，OneSuite不對提交的漏洞提供補償。提交報告即表示您放棄任何補償要求。

問題

如對本政策有任何問題或建議，請透過 [email protected] 聯繫我們。

最後更新： November 12, 2024