负责任的披露政策
Hindwi欢迎来自其产品,平台和网站的社区的反馈。我们负责任的披露政策允许通过社区中的任何人在规定合理的标准和这些结果的安全沟通中由社区中的任何人完成安全测试。如果您确定了Hindawi的产品,平台或网站的任何漏洞,请向Hindwi举报安全@ hindawi.com.使用这一点PGP钥匙(散列:5B380BF70348EFC7ADCA2143712C7E19C1658D1C)
为了开发Phenom和我们的新网站,我们依赖于社区驱动的解决方案和协作工作。我们的平台建立在开源软件上,并受益于我们服务的社区的反馈。
我们欢迎您的支持,帮助我们解决任何安全问题,无论是改进我们的产品,都保护我们的用户。
我们同意通过我们通过所要求的频道提交漏洞报告的个人或公司以及符合本政策要求的个人或公司来追究法律诉讼除非我们被监管机构,其他第三方或适用法律所迫使这样做。
以下是由负责任的披露政策中排除(请注意,此列表并非详尽无遗):
- 采取任何负面影响后期,其子公司或代理人的行动。
- 在任何媒体中保留发现的任何个人身份信息。发现的任何个人可识别的信息必须永久销毁或从您的设备和存储中删除。
- 披露对任何第三方发现的任何个人身份信息。
- 数据,信息或基础设施的破坏或损坏,包括任何尝试。
- 发现依赖于任何类型的社会工程技术(任何与关联或为后律而隶属的任何人的口头或书面互动)。
- 任何剥削行动,包括访问或试图访问Hindawi的数据或信息,超出初始“漏洞证明”所需的内容。这意味着您获得和验证漏洞证明的操作必须在初始访问数据或系统后立即停止。
- 攻击第三方服务。
- 拒绝服务攻击或分布式拒绝服务攻击。
- 任何尝试获得对Hindawi属性或数据中心的物理访问。
- 使用您不拥有或未授权或许可在发现漏洞时使用的资产。
- 在发现或报告任何漏洞的过程中违反任何法律或协议。
超出范围漏洞
- 使用自动化工具(包括Web扫描仪)标识的漏洞,其不包括概念验证代码或演示的漏洞利用。
- 与之整合或链接后律的第三方应用程序,网站或服务。
- 发现任何内使用的服务(易受攻击的第三方代码),其运行版本包括已知漏洞,而无需演示现有的安全影响。
偏好,优先级和验收标准
我们将使用以下标准来优先考虑和分类提交。
我们希望从您看的内容:
- 英语的完整报告将具有更高的解决方法。
- 报告包括概念验证代码将我们装备更好的分类。
- 仅包含崩溃转储或其他自动刀具输出的报告可能会导致优先级较低。
- 包含未在初始范围列表上的产品的报告可能会获得较低的优先级。
- 请包括您发现错误,影响和任何潜在的修复。
- 请附上公开披露的任何计划或意图。
您可以从我们期望的内容:
- 及时回复您的电子邮件。
- 分类后,我们将发送预期的时间表,并尽可能透明地透明,以及可能扩展它的问题或挑战。
- 一个讨论问题的开放对话。
- 当漏洞分析完成我们审核的每个阶段时通知。
Hindawi保留所有权利,特别是关于不符合此负责任披露政策的漏洞发现。这项负责任的披露政策于2020年10月1日期日期为10月1日,并将定期审查和更新;请在采取任何操作之前为此页面添加书签并检查其最新版本的策略。