负责任的披露政策
Hindawi欢迎社区对其产品、平台和网站的反馈。我们负责任的披露政策允许社区中的任何人在规定的合理标准内进行安全测试,并安全地传达这些结果。如果您发现Hindawi产品、平台或网站中存在任何漏洞,请通过以下网址向Hindawi报告:安全@hindawi.com使用这个PGP密钥(哈希:5B380BF70348EFC7ADCA2143712C7E19C1658D1C)
对于Phenom和我们的新网站的开发,我们依赖于社区驱动的解决方案和协作工作。我们的平台建立在开源软件之上,并从我们服务的社区的反馈中获益。
我们欢迎您的支持,以帮助我们解决任何安全问题,既改善我们的产品和保护我们的用户。
我们同意通过我们通过所要求的频道提交漏洞报告的个人或公司以及符合本政策要求的个人或公司来追究法律诉讼除非监管机构、其他第三方或适用法律强制我们这样做。
责任披露政策不包括以下内容(请注意,此列表并非详尽无遗):
- 采取任何会对印达威、其子公司或代理产生负面影响的行动。
- 保留在任何媒体上发现的任何个人身份信息。任何发现的个人身份信息必须永久销毁或从您的设备和存储中删除。
- 向任何第三方披露发现的任何个人身份信息。
- 破坏或损坏数据、信息或基础设施,包括任何企图这样做的行为。
- 发现依赖于任何类型的社会工程技术(与任何隶属于或为印地语工作的人的任何口头或书面交流)。
- 任何攻击行为,包括访问或试图访问印达威人的数据或信息,超出了初始“漏洞证明”的要求。这意味着您获取和验证漏洞证明的行为必须在初始访问数据或系统后立即停止。
- 对第三方服务的攻击。
- 拒绝服务攻击或分布式拒绝服务攻击。
- 任何试图物理访问印达维财产或数据中心的行为。
- 在发现漏洞时使用您不拥有或未经授权或许可使用的资产。
- 在发现或报告任何漏洞的过程中违反任何法律或协议。
范围外漏洞
- 自动工具(包括web扫描仪)发现的漏洞不包括概念验证代码或已演示的漏洞。
- 第三方应用程序,网站或服务,集成或链接印地语。
- 发现任何正在使用的服务(例如易受攻击的第三方代码),其运行版本包含已知的漏洞,而不显示现有的安全影响。
偏好、优先顺序和接受标准
我们将使用以下标准对提交的文件进行优先排序和分类。
我们希望从您看的内容:
- 用英语写得好的报告会有更高的解决问题的机会。
- 包含概念验证代码的报告使我们能够更好地进行分类。
- 仅包含崩溃转储或其他自动工具输出的报告可能会获得较低的优先级。
- 包含不在初始范围列表中的产品的报告的优先级可能较低。
- 请包括你是如何发现错误,影响,以及任何潜在的补救措施。
- 请包括任何公开披露的计划或意图。
您对我们的期望:
- 及时回复你的邮件。
- 在分类之后,我们将发送一个预期的时间表,并承诺尽可能透明地说明补救时间表以及可能延长补救时间表的问题或挑战。
- 讨论问题的公开对话。
- 漏洞分析完成审查的每个阶段时发出通知。
Hindawi保留其所有权利,特别是关于不符合本责任披露政策的漏洞发现。本责任披露政策的生效日期为2020年10月1日,将定期进行审查和更新;在采取任何行动之前,请将此页面标记为书签,并检查政策的最新版本。